Microsoft inició el año 2025 con una actualización masiva de seguridad, abordando 161 vulnerabilidades en su cartera de software. Esta actualización incluye tres fallos de día cero (zero-day) que han sido activamente explotados en ataques recientes.
Resumen de las Vulnerabilidades
De las 161 fallas corregidas:
- 11 son clasificadas como críticas.
- 149 son importantes en severidad.
- 1, relacionada con un bypass de Windows Secure Boot (CVE-2024-7344), no tiene severidad asignada, pero presenta riesgos significativos.
Este conjunto de actualizaciones es el más grande registrado en un solo mes desde 2017, según el Zero Day Initiative. Además, Microsoft ha lanzado siete correcciones adicionales para su navegador basado en Chromium, Microsoft Edge, tras la actualización de diciembre de 2024.
Zero-Day: Fallos Críticos en Hyper-V
Entre las vulnerabilidades más preocupantes se encuentran tres fallos en Windows Hyper-V NT Kernel Integration VSP:
Con un puntaje CVSS de 7.8, estos fallos permiten a los atacantes obtener privilegios de SYSTEM. Aunque Microsoft no ha revelado detalles sobre cómo se están explotando ni quiénes están detrás de los ataques, expertos apuntan a que estos fallos son utilizados en actividades posteriores a compromisos iniciales, como escalamiento de privilegios en sistemas ya vulnerados.
Según Adam Barnett, especialista, “estos problemas en Hyper-V representan una vulnerabilidad clave en la infraestructura de virtualización, lo que podría abrir la puerta a futuras amenazas.”
La Agencia de Ciberseguridad y Seguridad de Infraestructura de EE. UU. (CISA) ha incluido estas vulnerabilidades en su catálogo de fallos explotados conocidos, exigiendo que las agencias federales apliquen los parches antes del 4 de febrero de 2025.
Cinco Fallos Públicos y Críticos
Además de los tres zero-day, Microsoft también corrigió cinco vulnerabilidades que ya eran de conocimiento público, entre ellas:
- CVE-2025-21308 (Windows Themes Spoofing Vulnerability): podría permitir la divulgación de hashes NTLM.
- Tres fallos en Microsoft Access (CVE-2025-21186, CVE-2025-21366 y CVE-2025-21395) que requieren la apertura de archivos especialmente diseñados.
- CVE-2025-21275 (Windows App Package Installer): permite elevación de privilegios.
Estos fallos, aunque categorizados como RCE, requieren la interacción del usuario, como abrir un archivo malicioso, lo que subraya la importancia de la formación en ciberseguridad para empleados.
Vulnerabilidades Críticas de Alto Impacto
Cinco vulnerabilidades críticas han captado especial atención:
- CVE-2025-21294: vulnerabilidad en Microsoft Digest Authentication que puede permitir ejecución remota de código (RCE).
- CVE-2025-21295: afecta al mecanismo de seguridad SPNEGO Extended Negotiation, permitiendo ejecución de código sin interacción del usuario.
- CVE-2025-21298: involucra Microsoft Outlook y permite la ejecución remota al previsualizar correos maliciosos.
- CVE-2025-21307: un fallo en el controlador Windows RMCAST, con un CVSS de 9.8.
- CVE-2025-21311: vulnerabilidad de elevación de privilegios en NTLM V1.
Impacto en la Privacidad: Fallo en BitLocker
Otro fallo destacado (CVE-2025-21210) afecta a Windows BitLocker y permite la recuperación de imágenes de hibernación en texto claro si un atacante tiene acceso físico al disco duro. Estas imágenes pueden contener información sensible, como contraseñas y datos personales, que podrían ser extraídas con herramientas gratuitas.
Recomendaciones
Para protegerse de estas vulnerabilidades, Microsoft recomienda:
- Actualizar inmediatamente todos los sistemas afectados.
- Configurar aplicaciones de correo como Microsoft Outlook para leer mensajes en texto plano y evitar abrir archivos de fuentes desconocidas.
- Mantener soluciones de monitoreo de vulnerabilidades para priorizar parches en sistemas críticos.
La actualización de enero de 2025 subraya la importancia de una estrategia proactiva en ciberseguridad. Empresas y usuarios deben tomar medidas inmediatas para evitar compromisos potenciales en su infraestructura tecnológica.