Microsoft ha lanzado su boletín de parches de seguridad mensual para septiembre de 2025, corrigiendo 81 vulnerabilidades que afectan a múltiples productos, como Windows, Office, SharePoint, Hyper-V y componentes de red. Lo más preocupante es que dos de las vulnerabilidades, catalogadas como zero-day, ya habían sido reveladas y estaban siendo explotadas públicamente antes de que existiera una solución.
Aunque el número total de fallos es menor que en meses anteriores, la gravedad de estos hace que esta actualización sea una prioridad para los administradores y equipos de seguridad.
Desglose de vulnerabilidades
El paquete de parches incluye correcciones para los siguientes tipos de vulnerabilidades:
- 38 de elevación de privilegios (EoP)
- 22 de ejecución remota de código (RCE)
- 14 de divulgación de información
- 4 de denegación de servicio (DoS)
- 2 de omisión de seguridad
- 1 de suplantación de identidad
Según investigadores, al menos 8 de estas vulnerabilidades se clasifican como críticas, mientras que el resto son consideradas importantes.
Zero-days corregidos
Los dos zero-days que ya estaban siendo explotados son:
- CVE-2025-55234 – Windows SMB Elevation of Privilege: Con un CVSS de 8.8, este fallo permite a los atacantes lanzar ataques de retransmisión en SMB, comprometiendo entornos que no tienen activados mecanismos de seguridad como SMB Signing o Extended Protection for Authentication (EPA). Esto representa un alto riesgo para las redes corporativas que usan Active Directory.
- CVE-2024-21907 – Newtonsoft.Json (BlogEngine.NET): Esta vulnerabilidad permite la ejecución remota de código a través de la manipulación de objetos JSON. Aunque su alcance es más limitado, sigue siendo relevante para entornos web que utilizan este framework.
Otras vulnerabilidades de alto riesgo
- CVE-2025-54918: Una falla de elevación de privilegios en Windows NTLM que permite a un atacante con acceso a la red elevar sus permisos hasta el nivel de sistema. Tiene una puntuación CVSS de 8.8.
- CVE-2025-55226: Una vulnerabilidad de ejecución de código remoto (RCE) en el kernel de gráficos de Windows. Requiere acceso local y es considerado de riesgo medio, con un CVSS de 6.7.
- CVE-2025-55228: Una vulnerabilidad de ejecución de código remoto (RCE) en el componente Windows Win32K. Un atacante con privilegios bajos puede ejecutar código de forma local, con un CVSS de 7.8.
- CVE-2025-55236: Una vulnerabilidad de ejecución de código remoto (RCE) en el kernel de gráficos de Windows. Un atacante local con pocos privilegios puede explotarla para ejecutar código. Su CVSS es de 7.3.
- CVE-2025-53799: Una falla de divulgación de información en el Windows Imaging Component. Puede permitir que un atacante local revele información sensible. Tiene un CVSS de 5.5.
- CVE-2025-53800: Una vulnerabilidad de elevación de privilegios (EoP) en el componente de gráficos de Windows que permite a un atacante obtener acceso local a permisos más altos. Su CVSS es de 7.8.
- CVE-2025-54910: Una vulnerabilidad de ejecución de código remoto (RCE) en Microsoft Office que permite la ejecución de código a través de un desbordamiento de búfer sin interacción del usuario. Su CVSS es de 8.4.
- CVE-2025-55224: Una vulnerabilidad de ejecución de código remoto (RCE) en el Windows Win32K – GRFX que se explota de forma local. Su CVSS es de 7.8.
Contexto más amplio
Este mes se confirma una tendencia: las vulnerabilidades de elevación de privilegios superan en número a las de ejecución remota de código. Esto significa que, aunque muchas requieren acceso previo al sistema, pueden ser el eslabón final para un compromiso total en cadenas de ataque combinadas.
Si desean más información, sobre las 81 vulnerabilidades pueden visualizarlo aquí.
Recomendaciones
- Aplica los parches de inmediato en Windows 10, 11 y Windows Server.
- Habilita SMB Signing y EPA para mitigar ataques de retransmisión.
- Deshabilita las macros y la vista previa automática en Office/Outlook.
- Refuerza la seguridad en SharePoint y Hyper-V: revisa los permisos, la autenticación y la segmentación de red.
- Monitorea de forma proactiva con EDR/XDR para detectar intentos de explotación.
