Microsoft publicó el martes correcciones para la friolera de 183 fallas de seguridad que abarcan sus productos, incluidas tres vulnerabilidades que han sido explotadas activamente en la naturaleza, ya que el cíclope tecnológico oficialmente finalizó el soporte para su sistema operante Windows 10 a menos que las PC estén inscritas en el software de Actualizaciones de seguridad extendidas (ESU).
De las 183 vulnerabilidades, ocho de ellas son CVE que no son emitidas por Microsoft. Hasta 165 fallas han sido calificadas como Importantes en cuanto a su empeoramiento, seguidas de 17 como Críticas y una como Moderada. La gran mayoría de ellos se relacionan con vulnerabilidades de elevación de privilegios (84), y la ejecución remota de código (33), divulgación de información (28), suplantación de identidad (14), denegación de servicio (11) y elusión de funciones de seguridad (11) representan el resto.
Las actualizaciones se suman a las 25 vulnerabilidades que Microsoft abordó en su navegador Edge basado en Chromium desde el divulgación de la puesta al día del martes de parches de septiembre de 2025.
Los dos días cero de Windows que han sido objeto de explotación activa son los siguientes:
- CVE-2025-24990 (Puntuación CVSS: 7,8) – Vulnerabilidad de elevación de privilegios del regulador de módem Agere de Windows («ltmdm64.sys»)
- CVE-2025-59230 (Puntuación CVSS: 7,8) – Vulnerabilidad de elevación de privilegios del Administrador de conexión de paso remoto de Windows (RasMan)
Microsoft dijo que entreambos problemas podrían permitir a los atacantes ejecutar código con privilegios elevados, aunque actualmente no hay indicios de cómo están siendo explotados y qué tan extendidos pueden estar estos esfuerzos. En el caso de CVE-2025-24990, la compañía dijo que planea eliminar el regulador por completo, en lado de propagar un parche para un componente heredado de terceros.
Alex Vovk, director ejecutante y cofundador de Action1, describió el defecto de seguridad como «peligroso», ya que tiene su origen en el código heredado instalado de forma predeterminada en todos los sistemas Windows, independientemente de si el hardware asociado está presente o en uso.
«El regulador endeble viene con todas las versiones de Windows, hasta Server 2025 inclusive», dijo Adam Barnett, ingeniero de software líder en Rapid7. «¿Tal vez su módem de fax usa un conjunto de chips diferente, por lo que no necesita el regulador Agere? ¿Quizás simplemente descubrió el correo electrónico? Mala suerte. Su PC aún es endeble y un atacante particular con una cuenta con privilegios mínimos puede ascender a administrador».
Según Satnam Narang, ingeniero de investigación senior de Tenable, CVE-2025-59230 es la primera vulnerabilidad en RasMan que se explota como día cero. Microsoft ha solucionado más de 20 fallos en el componente desde enero de 2022.
La tercera vulnerabilidad que ha sido explotada en ataques del mundo efectivo se refiere a un caso de omisión de inicio seguro en IGEL OS antedicho a 11 (CVE-2025-47827, puntuación CVSS: 4,6). Los detalles sobre la descompostura fueron revelados públicamente por primera vez por el investigador de seguridad Zack Didcott en junio de 2025.
«Los impactos de una omisión de inicio seguro pueden ser significativos, ya que los actores de amenazas pueden implementar un rootkit a nivel de kernel, obteniendo paso al sistema operante IGEL y, por extensión, luego alterar los escritorios virtuales, incluida la captura de credenciales», dijo Kev Breen, director senior de investigación de amenazas en Immersive.
«Cerca de señalar que este no es un ataque remoto y que normalmente se requiere paso físico para explotar este tipo de vulnerabilidad, lo que significa que los ataques estilo ‘criada malvada’ son el vector más probable que afecta a los empleados que viajan con frecuencia».
Desde entonces, los tres problemas se agregaron al catálogo de vulnerabilidades explotadas conocidas (KEV) de la Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA), lo que requiere que las agencias federales apliquen los parches ayer del 4 de noviembre de 2025.
Algunas otras vulnerabilidades críticas destacadas incluyen un error de ejecución remota de código (RCE) (CVE-2025-59287, puntuación CVSS: 9,8) en Windows Server Update Service (WSUS), una vulnerabilidad de lección fuera de límites en la función auxiliar CryptHmacSign de la implementación de remisión TPM2.0 de Trusted Computing Group (TCG) (CVE-2025-2884, puntuación CVSS: 5,3), y un RCE en el disección de URL de Windows (CVE-2025-59295, 8.8).
«Un atacante puede exprimir esto construyendo cuidadosamente una URL maliciosa», dijo Ben McCarthy, ingeniero dirigente de ciberseguridad de Immersive, sobre CVE-2025-59295. «Los datos desbordados se pueden diseñar para sobrescribir datos críticos del software, como un puntero de función o el puntero de la tabla de funciones virtuales (vtable) de un objeto».
«Cuando la aplicación intenta utilizar este puntero corrupto, en lado de emplazar a una función legítima, redirige el flujo de ejecución del software a una dirección de memoria controlada por el atacante. Esto le permite al atacante ejecutar código parcial (shellcode) en el sistema de destino».
Dos vulnerabilidades con la puntuación CVSS más ingreso en la puesta al día de este mes se relacionan con una descompostura de ascensión de privilegios en el componente de gráficos de Microsoft (CVE-2025-49708, puntuación CVSS: 9,9) y una omisión de característica de seguridad en ASP.NET (CVE-2025-55315, puntuación CVSS: 9,9).
Si correctamente la explotación de CVE-2025-55315 requiere que el atacante se autentique primero, se puede pasarse de él para eludir de forma estafa los controles de seguridad y resistir a angla acciones maliciosas al introducir de contrabando una segunda solicitud HTTP maliciosa internamente del cuerpo de su solicitud autenticada original.
«Una ordenamiento debe priorizar parchear esta vulnerabilidad porque invalida la promesa de seguridad central de la virtualización», explicó McCarthy con respecto a CVE-2025-49708, caracterizándola como una descompostura de parada impacto que conduce a un escape total de la máquina potencial (VM).
«Un exploit exitoso significa que un atacante que obtiene incluso paso con privilegios bajos a una única VM invitada no crítica puede romper y ejecutar código con privilegios de SISTEMA directamente en el servidor host subyacente. Esta descompostura de aislamiento significa que el atacante puede luego alcanzar, manipular o destruir datos en todas las demás VM que se ejecutan en ese mismo host, incluidos controladores de dominio, bases de datos o aplicaciones de producción de encomienda crítica».
Parches de software de otros proveedores
Por otra parte de Microsoft, otros proveedores igualmente han publicado actualizaciones de seguridad durante las últimas semanas para rectificar varias vulnerabilidades, entre ellas:
- Adobe
- Servicios web de Amazon
- AMD
- IAM
- Manzana
- ASUS
- Comunicaciones del eje
- Broadcom (incluido VMware)
- Canon
- Punto de control
- cisco
- Enlace D
- Dell
- drupal
- Elástico
- F5
- Fortinet
- Software Foxit
- FUJIFILM
- gigabytes
- GitLab
- Google Chrome
- Cúmulo de Google
- Temporalizador Google Pixel
- Rasar
- Energía Hitachi
- Redes HMS (incluido Red Lion)
- mielwell
- caballos de fuerza
- HP Enterprise (incluidos Aruba Networking y Juniper Networks)
- IBM
- Ivanti
- Jenkins
- lenovo
- Distribuciones de Linux AlmaLinux, Alpine Linux, Amazon Linux, Arch Linux, Debian, Gentoo, Oracle Linux, Mageia, Red Hat, Rocky Linux, SUSE y Ubuntu
- MediaTek
- Mitsubishi Electrico
- MongoDB
- Moodle
- moxa
- Mozilla Firefox, Firefox ESR y Thunderbird
- Nvidia
- Oráculo
- Redes de Palo Detención
- Software de progreso
- QNAP
- Qualcomm
- Ricoh
- Automatización Rockwell
- fuerza de ventas
- Samsung
- SAVIA
- Electricidad Schneider
- Servicio ahora
- siemens
- Vientos solares
- SonicWall
- Splunk
- Entorno de primavera
- supermicro
- Sinología
- TP-Link
- Mecanismo
- Veeam y
- Teleobjetivo
