Microsoft cerró 2025 con parches para 56 fallas de seguridad en varios productos en la plataforma Windows, incluida una vulnerabilidad que ha sido explotada activamente en la naturaleza.
De los 56 defectos, tres están clasificados como Críticos y 53 como Importantes en cuanto a su gravedad. Otros dos defectos figuran como de conocimiento público en el momento de la publicación. Estas incluyen 29 vulnerabilidades de escalada de privilegios, 18 de ejecución remota de código, cuatro de divulgación de información, tres de denegación de servicio y dos de suplantación de identidad.
En total, Microsoft ha abordado un total de 1.275 CVE en 2025, según datos recopilados por Fortra. Satnam Narang de Tenable dijo que 2025 también marca el segundo año consecutivo en el que el fabricante de Windows parcheó más de 1.000 CVE. Es la tercera vez que lo hace desde el inicio del martes de parches.
La actualización se suma a 17 deficiencias que el gigante tecnológico solucionó en su navegador Edge basado en Chromium desde el lanzamiento de la actualización del martes de parches de noviembre de 2025. Esto también consiste en una vulnerabilidad de suplantación de identidad en Edge para iOS (CVE-2025-62223, puntuación CVSS: 4,3).
La vulnerabilidad que ha sido objeto de explotación activa es CVE-2025-62221 (puntuación CVSS: 7,8), un controlador de minifiltro de archivos en la nube de Windows que se puede usar después de liberar y que podría permitir a un atacante autorizado elevar los privilegios localmente y obtener permisos del SISTEMA.
«Los controladores de filtro del sistema de archivos, también conocidos como minifiltros, se conectan a la pila de software del sistema e interceptan las solicitudes dirigidas a un sistema de archivos, y amplían o reemplazan la funcionalidad proporcionada por el objetivo original», dijo Adam Barnett, ingeniero de software líder en Rapid7, en un comunicado. «Los casos de uso típicos incluyen cifrado de datos, copia de seguridad automatizada, compresión sobre la marcha y almacenamiento en la nube».
«El minifiltro Cloud Files es utilizado por OneDrive, Google Drive, iCloud y otros, aunque como componente central de Windows, todavía estaría presente en un sistema donde ninguna de esas aplicaciones estuviera instalada».
Actualmente no se sabe cómo se está abusando de la vulnerabilidad en la naturaleza y en qué contexto, pero la explotación exitosa requiere que un atacante obtenga acceso a un sistema susceptible a través de otros medios. A Microsoft Threat Intelligence Center (MSTIC) y Microsoft Security Response Center (MSRC) se les atribuye el mérito de descubrir e informar la falla.
Según Mike Walters, presidente y cofundador de Action1, un actor de amenazas podría obtener acceso con pocos privilegios a través de métodos como phishing, exploits de navegador web u otra falla conocida de ejecución remota de código, y luego encadenarlo con CVE-2025-62221 para tomar el control del host.
Armado con este acceso, el atacante podría implementar componentes del kernel o abusar de los controladores firmados para evadir las defensas y mantener la persistencia, y puede usarse como arma para lograr un compromiso en todo el dominio cuando se combina con escenarios de robo de credenciales.
La explotación de CVE-2025-62221 ha llevado a la Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) a agregarlo al catálogo de Vulnerabilidades Explotadas Conocidas (KEV), obligando a las agencias del Poder Ejecutivo Civil Federal (FCEB) a aplicar el parche antes del 30 de diciembre de 2025.
Los dos días cero restantes se enumeran a continuación:
- CVE-2025-54100 (puntuación CVSS: 7,8): una vulnerabilidad de inyección de comandos en Windows PowerShell que permite a un atacante no autorizado ejecutar código localmente
- CVE-2025-64671 (puntuación CVSS: 8,4): una vulnerabilidad de inyección de comandos en GitHub Copilot para JetBrains que permite a un atacante no autorizado ejecutar código localmente
«Este es un error de inyección de comandos en la forma en que Windows PowerShell procesa el contenido web», dijo Alex Vovk de Action1 sobre CVE-2025-54100. «Permite que un atacante no autenticado ejecute código arbitrario en el contexto de seguridad de un usuario que ejecuta un comando PowerShell diseñado, como Invoke-WebRequest».
«La amenaza se vuelve significativa cuando esta vulnerabilidad se combina con patrones de ataque comunes. Por ejemplo, un atacante puede usar ingeniería social para persuadir a un usuario o administrador para que ejecute un fragmento de PowerShell usando Invoke-WebRequest, permitiendo que un servidor remoto devuelva contenido diseñado que desencadena la falla de análisis y conduce a la ejecución del código y la implementación del implante».
Vale la pena señalar que CVE-2025-64671 surge a raíz de un conjunto más amplio de vulnerabilidades de seguridad denominadas colectivamente IDEsaster que fue revelada recientemente por el investigador de seguridad Ari Marzouk. Los problemas surgen como resultado de agregar capacidades de agente a un entorno de desarrollo integrado (IDE), exponiendo nuevos riesgos de seguridad en el proceso.
Estos ataques aprovechan las inyecciones rápidas contra los agentes de inteligencia artificial (IA) integrados en los IDE y los combinan con la capa base del IDE para dar como resultado la divulgación de información o la ejecución de comandos.
«Esto utiliza una cadena de ataque ‘antigua’ que consiste en utilizar una herramienta vulnerable, por lo que no forma parte exactamente de la nueva cadena de ataque de IDEsaster», dijo a The Hacker News Marzouk, a quien se le atribuye haber descubierto y reportado la falla. «Específicamente, una herramienta vulnerable de ‘ejecutar comando’ donde puedes omitir la lista de permitidos configurada por el usuario».
Marzouk también dijo que se encontró que varios IDE eran vulnerables al mismo ataque, incluidos Kiro.dev, Cursor (CVE-2025-54131), JetBrains Junie (CVE-2025-59458), Gemini CLI, Windsurf y Roo Code (CVE-2025-54377, CVE-2025-57771 y CVE-2025-65946). Además, se ha descubierto que GitHub Copilot para Visual Studio Code es susceptible a la vulnerabilidad, aunque, en este caso, Microsoft le asignó una clasificación de gravedad «Media» sin CVE.
«La vulnerabilidad establece que es posible obtener la ejecución de código en los hosts afectados engañando al LLM para que ejecute comandos que salten las barreras de seguridad y agregue instrucciones en la configuración de ‘aprobación automática’ del usuario», dijo Kev Breen, director senior de investigación de amenazas cibernéticas en Immersive.
«Esto se puede lograr a través de la ‘Inyección cruzada de mensajes’, que es donde el mensaje no es modificado por el usuario sino por los agentes de LLM a medida que elaboran sus propios mensajes basados en el contenido de los archivos o datos recuperados de un servidor Model Context Protocol (MCP) que ha ganado popularidad entre los LLM basados en agentes».
Parches de software de otros proveedores
Además de Microsoft, otros proveedores también han lanzado actualizaciones de seguridad durante las últimas semanas para rectificar múltiples vulnerabilidades, que incluyen:
- Adobe
- Servicios web de Amazon
- AMD
- Brazo
- ASUS
- Atlassiano
- Bosco
- Broadcom (incluido VMware)
- Canon
- cisco
- citrix
- CODESYS
- Dell
- Devoluciones
- drupal
- F5
- Fortinet
- Fortra
- GitLab
- Google Android y Píxel
- Google Chrome
- Nube de Google
- Reloj Google Pixel
- Energía Hitachi
- caballos de fuerza
- HP Enterprise (incluidos Aruba Networking y Juniper Networks)
- IBM
- Tecnologías de la imaginación
- Intel
- Ivanti
- lenovo
- Distribuciones de Linux AlmaLinux, Alpine Linux, Amazon Linux, Arch Linux, Debian, Gentoo, Oracle Linux, Mageia, Red Hat, Rocky Linux, SUSE y Ubuntu
- MediaTek
- Mitsubishi Electrico
- MongoDB
- moxa
- Mozilla Firefox y Firefox ESR
- Nvidia
- OPPO
- Software de progreso
- Qualcomm
- Reaccionar
- Automatización Rockwell
- Samsung
- SAVIA
- Electricidad Schneider
- siemens
- Vientos solares
- Splunk
- Sinología
- TP-Link
- GuardiaGuardia
- Zoom, y
- Zyxel
