Ciberseguridad 360 | Microsoft corrige 130 vulnerabilidades, incluidos SPNEGO y SQL Server

Por primera vez en 2025, Microsoft no incluir� correcciones de vulnerabilidades de seguridad explotadas, pero la empresa reconoci� que uno de los fallos abordados era de dominio p�blico.

Los parches resuelven la friolera de 130 vulnerabilidades, junto con otros 10 CVE ajenos a Microsoft que afectan a Visual Studio, AMD y su navegador Edge basado en Chromium. De ellas, 10 est�n calificadas como Cr�ticas y las restantes tienen todas una gravedad Importante.

"La racha de 11 meses sin parchear al menos un zero-day explotado in the wild ha terminado este mes", ha declarado Satnam Narang, Senior Staff Research Engineer de Tenable.

Cincuenta y tres de estas deficiencias se clasifican como fallos de escalada de privilegios, seguidos por 42 de ejecuci�n remota de c�digo, 17 de divulgaci�n de informaci�n y 8 de elusi�n de funciones de seguridad. Estos parches se suman a otros dos fallos abordados por la compa��a en el navegador Edge desde el lanzamiento de la actualizaci�n Patch Tuesday del mes pasado.

La vulnerabilidad que aparece en la lista de conocimiento p�blico es un fallo de divulgaci�n de informaci�n en Microsoft SQL Server (CVE-2025-49719, puntuaci�n CVSS: 7,5) que podr�a permitir a un atacante no autorizado filtrar memoria no inicializada.

"Es muy posible que un atacante no descubra nada de valor, pero con suerte, persistencia o alguna manipulaci�n muy astuta del exploit, el premio podr�a ser material de claves criptogr�ficas u otras joyas de la corona de SQL Server", afirma en un comunicado Adam Barnett, ingeniero jefe de software de Rapid7.

Mike Walters, Presidente y Cofundador de Action1, dijo que el fallo es probablemente el resultado de una validaci�n de entrada inadecuada en la gesti�n de memoria de SQL Server, lo que permite el acceso a memoria no inicializada.

"Como resultado, los atacantes podr�an recuperar restos de datos sensibles, como credenciales o cadenas de conexi�n", a�adi� Walters. "Afecta tanto al motor de SQL Server como a las aplicaciones que utilizan controladores OLE DB".

El fallo m�s cr�tico parcheado por Microsoft como parte de las actualizaciones de este mes se refiere a un caso de ejecuci�n remota de c�digo que afecta a SPNEGO Extended Negotiation (NEGOEX). Registrado como CVE-2025-47981, tiene una puntuaci�n CVSS de 9,8 sobre 10,0.

"El desbordamiento de b�fer basado en Heap en Windows SPNEGO Extended Negotiation permite a un atacante no autorizado ejecutar c�digo a trav�s de una red", dijo Microsoft en un aviso. "Un atacante podr�a explotar esta vulnerabilidad enviando un mensaje malicioso al servidor, lo que potencialmente conducir�a a la ejecuci�n remota de c�digo".

Se ha atribuido a un investigador an�nimo y a Yuki Chen el descubrimiento y reparaci�n del fallo. Microsoft se�al� que el problema solo afecta a las m�quinas cliente de Windows que ejecutan Windows 10, versi�n 1607 y superior debido a la "Seguridad de red: Permitir que las solicitudes de autenticaci�n PKU2U a este equipo utilicen identidades en l�nea" Objeto de directiva de grupo (GPO) que est� habilitado de forma predeterminada.

"Como siempre, la Ejecuci�n Remota de C�digo es mala, pero los primeros an�lisis est�n sugiriendo que esta vulnerabilidad puede ser ?wormable? - el tipo de vulnerabilidad que podr�a ser aprovechada en malware autopropagable y hacer que muchos revisen el trauma del incidente WannaCry", dijo el fundador y CEO de watchTowr, Benjamin Harris.

"Microsoft es claro sobre los requisitos previos aqu�: no se requiere autenticaci�n, solo acceso a la red, y la propia Microsoft cree que la explotaci�n es ?M�s probable?. No debemos enga�arnos: si la industria privada ha detectado esta vulnerabilidad, sin duda ya est� en el radar de todo atacante con una pizca de malicia. Los defensores tienen que dejarlo todo, parchear r�pidamente y cazar los sistemas expuestos".

Otras vulnerabilidades de importancia son los fallos de ejecuci�n remota de c�digo que afectan a Windows KDC Proxy Service (CVE-2025-49735, puntuaci�n CVSS: 8,1), Windows Hyper-V (CVE-2025-48822, puntuaci�n CVSS: 8,6) y Microsoft Office (CVE-2025-49695, CVE-2025-496966 y CVE-2025-49697, puntuaciones CVSS: 8,4).

"Lo que hace que CVE-2025-49735 sea significativo es la exposici�n a la red combinada con la ausencia de privilegios o interacci�n del usuario. A pesar de su alta complejidad de ataque, la vulnerabilidad abre la puerta al compromiso remoto pre-auth, particularmente atractivo para APTs y actores de estado-naci�n", dijo Ben McCarthy, Ingeniero L�der de Ciberseguridad en Immersive.

"El atacante debe ganar una condici�n de carrera -un fallo de sincronizaci�n en el que la memoria se libera y reasigna en una ventana espec�fica-, lo que significa que la fiabilidad es baja por ahora. Sin embargo, este tipo de problemas se pueden aprovechar con t�cnicas como el heap grooming, lo que hace posible su explotaci�n".

Por otra parte, la actualizaci�n cierra cinco brechas de seguridad en Bitlocker (CVE-2025-48001, CVE-2025-48003, CVE-2025-48800, CVE-2025-48804 y CVE-2025-48818, puntuaciones CVSS: 6,8) que podr�an permitir a un atacante con acceso f�sico al dispositivo hacerse con datos cifrados.

"Un atacante podr�a aprovechar esta vulnerabilidad cargando un archivo WinRE.wim mientras el volumen del sistema operativo est� desbloqueado, lo que dar�a acceso a los datos cifrados con BitLocker", explica Microsoft sobre CVE-2025-48804.

Los investigadores Netanel Ben Simon y Alon Leviev de Microsoft Offensive Research and Security Engineering (MORSE) han sido reconocidos por informar de los cinco problemas en la herramienta de cifrado de disco integrada.

"Si se explotan, estos fallos podr�an exponer archivos sensibles, credenciales o permitir la manipulaci�n de la integridad del sistema", dijo Jacob Ashdown, Ingeniero de Seguridad Cibern�tica en Immersive. "Esto plantea un riesgo particular, especialmente para las organizaciones donde los dispositivos pueden perderse o ser robados, ya que los atacantes con acceso pr�ctico podr�an potencialmente eludir el cifrado y extraer datos confidenciales."

Tambi�n vale la pena se�alar que el 8 de julio de 2025 marca oficialmente el final del camino para SQL Server 2012, que dejar� de recibir futuros parches de seguridad en la lista del programa Extended Security Update (ESU) que llega a su fin.

Fuente: thehackernews