El pasado 15 de julio de 2025, Microsoft lanzó una actualización de emergencia denominada KB5064489 destinada a corregir un fallo crítico que impedía el arranque de máquinas virtuales (VM) en Azure. Este error se manifestaba cuando se habilitaba Virtualization-Based Security (VBS), pero la opción Trusted Launch permanecía desactivada.
El problema afectaba principalmente a entornos con Windows Server 2025 o Windows 11 version 24H2, así como a VMs configuradas en la versión de plataforma v8.0 sobre SKU antiguos, en la categoría Standard (no Trusted Launch), dentro de Azure. La raíz del fallo radicaba en un error de inicialización del “secure kernel”, componente crítico de VBS, que provocaba que el sistema no completara el proceso de arranque.
Pasos recomendados para determinar la vulnerabilidad
Microsoft sugiere a los administradores realizar estas comprobaciones:
- Verificar que la VM está configurada como “Standard” y no usa Trusted Launch.
- Acceder a Información del sistema (msinfo32.exe) para comprobar que VBS está activo y que no existe el rol Hyper‑V instalado dentro de la VM
En caso de cumplir los criterios mencionados, se recomienda instalar de inmediato el parche KB5064489 en lugar de la actualización regular del martes 8 de julio (KB5062553); como alternativa preventiva, se sugiere habilitar Trusted Launch.
Además, Microsoft ha integrado este parche en las imágenes oficiales de Windows Server 2025 para Azure, facilitando la creación de nuevas VMs ya protegidas.
¿Quiénes son afectados?
Microsoft indicó que las configuraciones más afectadas fueron aquellas que combinan:
- Windows Server 2025 o Windows 11 24H2.
- Máquinas virtuales con VBS activado (esto puede habilitarse de forma predeterminada en muchas imágenes).
- VMs que usan configuración “Standard” sin Trusted Launch habilitado.
- Infraestructura Azure corriendo en plataforma v8.0 o superior.
- Algunos hipervisores locales (ej. Windows Server 2016 con Hyper-V) también pueden verse afectados si se usan imágenes nuevas de Windows Server 2025 con VBS activado.
¿Por qué es tan importante la corrección?
Este incidente ha interrumpido operaciones críticas, tanto en entornos Azure como —según reportes de usuarios— en hipervisores locales con Windows 2016 que ejecutaban VMs de Windows Server 2025. La gravedad radica en que incluso entornos de prueba o producción pueden quedar inoperativos temporalmente.
Recomendaciones
- Aplica la actualización KB5064489 en todas las VMs afectadas.
- Si no puedes aplicar el parche inmediatamente, considera:
- Desactivar VBS temporalmente (no recomendado para producción).
- Migrar la VM a una configuración con Trusted Launch habilitado.
- Crear nuevas VMs desde imágenes ya actualizadas proporcionadas por Microsoft.
Microsoft ya ha integrado esta solución en las imágenes oficiales de Windows Server 2025 en Azure, por lo que las nuevas máquinas creadas a partir de ahora no sufrirán este problema.
