Ciberseguridad 360 | Microsoft corrige 57 vulnerabilidades, incluidos 6 zero-days explotados activamente

Microsoft public� el martes actualizaciones de seguridad para corregir 57 vulnerabilidades de seguridad de su software, entre ellas 6 zero-days que, seg�n afirma, han sido explotadas activamente en la red.

De los 56 fallos, seis se consideran cr�ticos, 50 importantes y uno de gravedad baja. Veintitr�s de las vulnerabilidades abordadas son fallos de ejecuci�n remota de c�digo y 22 est�n relacionadas con la elevaci�n de privilegios.

Las actualizaciones se suman a las 17 vulnerabilidades que Microsoft ha abordado en su navegador Edge basado en Chromium desde la publicaci�n de la actualizaci�n del martes de parches del mes pasado, una de las cuales es un fallo de suplantaci�n de identidad espec�fico del navegador (CVE-2025-26643, puntuaci�n CVSS: 5,4).

A continuaci�n se enumeran las seis vulnerabilidades que han sido objeto de explotaci�n activa:

CVE-2025-24983 (puntuaci�n CVSS: 7,0): Vulnerabilidad de uso despu�s de la liberaci�n (UAF) del subsistema del n�cleo Win32 de Windows que permite a un atacante autorizado elevar los privilegios de forma local.

CVE-2025-24984 (puntuaci�n CVSS: 4,6): Vulnerabilidad de Windows NTFS a la divulgaci�n de informaci�n que permite a un atacante con acceso f�sico a un dispositivo de destino y la capacidad de conectar una unidad USB maliciosa leer potencialmente partes de la memoria heap.

CVE-2025-24985 (puntuaci�n CVSS: 7,8): Vulnerabilidad de desbordamiento de enteros en el controlador del sistema de archivos Fast FAT de Windows que permite a un atacante no autorizado ejecutar c�digo localmente.

CVE-2025-24991 (puntuaci�n CVSS: 5,5): Vulnerabilidad de lectura fuera de los l�mites en Windows NTFS que permite a un atacante autorizado revelar informaci�n localmente.

CVE-2025-24993 (puntuaci�n CVSS: 7,8): Vulnerabilidad de desbordamiento de b�fer basada en heap en Windows NTFS que permite a un atacante no autorizado ejecutar c�digo localmente.

CVE-2025-26633 (puntuaci�n CVSS: 7,0): Vulnerabilidad de neutralizaci�n incorrecta en Microsoft Management Console que permite a un atacante no autorizado eludir una funci�n de seguridad de forma local.

ESET, a quien se atribuye el descubrimiento y la notificaci�n de CVE-2025-24983, dijo que descubri� por primera vez el exploit zero-day en la naturaleza en marzo de 2023 y entregado a trav�s de una puerta trasera llamada PipeMagic en hosts comprometidos.

"La vulnerabilidad es un use-after-free en el controlador Win32k", se�al� la empresa eslovaca. "En un determinado escenario logrado utilizando la API WaitForInputIdle, la estructura W32PROCESS se dereferenciada una vez m�s de lo que deber�a, causando UAF. Para llegar a la vulnerabilidad, se debe ganar una condici�n de carrera".

PipeMagic, descubierto por primera vez en 2022, es un troyano basado en plugins que ha tenido como objetivo entidades de Asia y Arabia Saud�, con el malware distribuido en forma de una aplicaci�n OpenAI ChatGPT falsa en campa�as de finales de 2024.

"Una de las caracter�sticas �nicas de PipeMagic es que genera una matriz aleatoria de 16 bytes para crear una tuber�a con nombre en el formato <hex string>", revel� Kaspersky en octubre de 2024. "Genera un hilo que crea continuamente esta tuber�a, lee datos de ella y luego la destruye".

"Esta tuber�a se utiliza para recibir payloads codificadas, se�ales de parada a trav�s de la interfaz local predeterminada. PipeMagic suele funcionar con varios plugins descargados de un servidor de comando y control (C2) que, en este caso, estaba alojado en Microsoft Azure."

La Zero Day Initiative se�al� que CVE-2025-26633 se deriva de c�mo se manejan los archivos MSC, lo que permite a un atacante evadir las protecciones de reputaci�n de archivos y ejecutar c�digo en el contexto del usuario actual. La actividad se ha vinculado a un actor de amenazas rastreado como EncryptHub (alias LARVA-208).

Action1 se�al� que los actores de amenazas podr�an encadenar las cuatro vulnerabilidades que afectan a componentes b�sicos del sistema de archivos de Windows para provocar la ejecuci�n remota de c�digo (CVE-2025-24985 y CVE-2025-24993) y la revelaci�n de informaci�n (CVE-2025-24984 y CVE-2025-24991). Los cuatro fallos se notificaron de forma an�nima.

"En concreto, el exploit se basa en que el atacante elabore un archivo VHD malicioso y convenza a un usuario para que abra o monte un archivo VHD", explic� Kev Breen, director senior de investigaci�n de amenazas de Immersive. "Los VHD son discos duros virtuales y normalmente se asocian con el almacenamiento del sistema operativo para m�quinas virtuales".

"Aunque suelen asociarse a las m�quinas virtuales, hemos visto ejemplos a lo largo de los a�os en los que los actores de amenazas utilizan archivos VHD o VHDX como parte de campa�as de phishing para pasar de contrabando payloads de malware a trav�s de soluciones antivirus. Dependiendo de la configuraci�n de los sistemas Windows, basta con hacer doble clic en un archivo VHD para montar el contenedor y, por tanto, ejecutar cualquier payload contenida en el archivo malicioso".

Seg�n Satnam Narang, ingeniero de investigaci�n senior de Tenable, CVE-2025-26633 es el segundo fallo en MMC que se explota como zero-day despu�s de CVE-2024-43572 y CVE-2025-24985 es la primera vulnerabilidad en el controlador del sistema de archivos FAT r�pido de Windows desde marzo de 2022. Tambi�n es la primera que se explota in the wild como d�a cero.

Como es habitual, actualmente se desconoce qu� vulnerabilidades restantes est�n siendo explotadas, en qu� contexto y la escala exacta de los ataques. Este hecho ha llevado a la Agencia de Ciberseguridad y Seguridad de las Infraestructuras (CISA) de EE.UU. a a�adirlas al cat�logo de Vulnerabilidades Explotadas Conocidas (KEV), exigiendo a los organismos federales que apliquen las correcciones antes del 1 de abril de 2025.

Fuente: thehackernews