Microsoft lanzó el martes actualizaciones de seguridad para afrontar 57 vulnerabilidades de seguridad en su software, incluidos los seis días cero que, según él, han sido explotados activamente en la naturaleza.
De los 56 fallas, seis están clasificados como críticos, 50 tienen una calificación importante y uno tiene una seriedad de herido seriedad. Veintitrés de las vulnerabilidades abordadas son errores de ejecución de código remoto y 22 se relacionan con la ascensión de privilegios.
Las actualizaciones se suman a 17 vulnerabilidades que Microsoft abordó en su navegador de borde basado en Chromium desde el divulgación de la modernización del martes del parche del mes pasado, uno de los cuales es una equivocación de falsificación específica para el navegador (CVE-2025-26643, puntaje CVSS: 5.4).
Las seis vulnerabilidades que han sido de explotación activa se enumeran a continuación –
- CVE-2025-24983 (Puntuación CVSS: 7.0)-Un subsistema de kernel de Windows Win32 Uso-después de la vulnerabilidad gratuita (UAF) que permite a un atacante calificado elevar los privilegios localmente
- CVE-2025-24984 (Puntuación CVSS: 4.6): una vulnerabilidad de divulgación de información de Windows NTFS que permite a un atacante con camino físico a un dispositivo objetivo y la capacidad de conectar una pelotón USB maliciosa para ojear porciones de memoria de montón
- CVE-2025-24985 (Puntuación CVSS: 7.8): una vulnerabilidad de desbordamiento inconmovible en el compensador de sistema de archivos de sebo rápida de Windows que permite a un atacante no calificado ejecutar código localmente
- CVE-2025-24991 (Puntuación CVSS: 5.5)-Una vulnerabilidad de ojeada fuera de los límites en Windows NTFS que permite a un atacante calificado divulgar información localmente
- CVE-2025-24993 (Puntuación CVSS: 7.8): una vulnerabilidad de desbordamiento de búfer basada en el montón en Windows NTFS que permite a un atacante no calificado ejecutar el código localmente
- CVE-2025-26633 (Puntuación CVSS: 7.0): una vulnerabilidad de neutralización inadecuada en la consola de suministro de Microsoft que permite a un atacante no calificado evitar una función de seguridad localmente
A ESET, que se acredita al descubrir e informar CVE-2025-24983, dijo que descubrió por primera vez el exploit de día cero en la naturaleza en marzo de 2023 y se entregó a través de una puerta trasera convocatoria Pipemagic en anfitriones comprometidos.
«La vulnerabilidad es un uso de balde en Win32k Driver», señaló la compañía eslovaca. «En un determinado ambiente acabado utilizando la API WaitForInputidle, la estructura del proceso W32 se desactiva una vez más de lo que debería, lo que hace que UAF resonancia la vulnerabilidad, se debe percibir una condición étnico».
Pipemagic, descubierto por primera vez en 2022, es un troyano basado en complementos que ha dirigido a entidades en Asia y Arabia Saudita, con el malware distribuido en forma de una aplicación falsa de Operai Chatgpt a fines de las campañas de 2024.
«Una de las características únicas de Pipemagic es que genera una matriz aleatoria de 16 bytes para crear una tubería con nombre en el formato . Pipe 1.
«Esta tubería se utiliza para percibir cargas avíos codificadas, las señales de detención a través de la interfaz lugar predeterminada. Pipemagic generalmente funciona con múltiples complementos descargados desde un servidor de comando y control (C2), que, en este caso, se alojó en Microsoft Azure».
La iniciativa Zero Day señaló que CVE-2025-26633 se deriva de cómo se manejan los archivos MSC, lo que permite a un atacante esquivar las protecciones de reputación de archivos y ejecutar código en el contexto del becario flagrante. La actividad se ha vinculado a un actor de amenaza rastreado como CiCrypThub (igualmente conocido como larva-208).
Action1 señaló que los actores de amenaza podrían encadenar las cuatro vulnerabilidades que afectan los componentes del sistema de archivos de Windows Core para causar la ejecución de código remoto (CVE-2025-24985 y CVE-2025-24993) y la divulgación de información (CVE-2025-24984 y CVE-2025-24991). Los cuatro errores fueron reportados de forma anónima.
«Específicamente, el exploit se plinto en el atacante que elabora un archivo VHD zorro y convence a un becario de rajar o aparearse un archivo VHD», dijo Kev Breen, director senior de investigación de amenazas en Immersive. «Los VHD son discos duros virtuales y generalmente se asocian con el almacenamiento del sistema activo para máquinas virtuales».
«Si correctamente están más típicamente asociados con máquinas virtuales, hemos gastado ejemplos a lo dilatado de los abriles en los que los actores de amenaza usan archivos VHD o VHDX como parte de las campañas de phishing para contrabandear las cargas de malware de malware pasadas AV Solutions. Dependiendo de la configuración de los sistemas de Windows, simplemente hacer clic en un archivo VHD en un archivo VHD podría ser suficiente para aparearse el contenedor y, por lo tanto, ejecutar cualquier carga de pagos en el archivo zorro,».
Según Satnam Narang, ingeniero de investigación de personal senior en Tenable, CVE-2025-26633 es el segundo defecto en MMC en ser explotado en la naturaleza como un día cero luego de CVE-2024-43572 y CVE-2025-24985 es la primera vulnerabilidad en el compensador de archivos rápidos de Windows desde marzo 2022. Todavía es la primera en la exploitada en el día de la naturaleza.
Como es habitual, actualmente no se sabe que las vulnerabilidades restantes se están explotando, en qué contexto y la escalera exacta de los ataques. El mejora ha llevado a la Agencia de Seguridad de Ciberseguridad e Infraestructura de los Estados Unidos (CISA) a agregarlos al catálogo de vulnerabilidades explotadas (KEV) conocidas, lo que requiere que las agencias federales apliquen las soluciones antaño del 1 de abril de 2025.
Parches de software de otros proveedores
Adicionalmente de Microsoft, otros proveedores igualmente han enérgico actualizaciones de seguridad en las últimas semanas para rectificar varias vulnerabilidades, incluidas, incluidas
