Microsoft lanzó el martes correcciones para la friolera de 183 fallos de seguridad que abarca sus productos, incluidas tres vulnerabilidades que han sido objeto de explotación activa en la naturaleza, como anunció oficialmente el gigante tecnológico. soporte finalizado para su sistema operativo Windows 10 a menos que las PC estén inscritas en las Actualizaciones de seguridad extendidas (USE) programa.
De las 183 vulnerabilidades, ocho de ellas son CVE no emitidas por Microsoft. Hasta 165 fallas han sido calificadas como Importantes en cuanto a su gravedad, seguidas de 17 como Críticas y una como Moderada. La gran mayoría de ellos se relacionan con vulnerabilidades de elevación de privilegios (84), y la ejecución remota de código (33), la divulgación de información (28), la suplantación de identidad (14), la denegación de servicio (11) y la omisión de funciones de seguridad (11) representan el resto de ellos.
Las actualizaciones se suman a las 25 vulnerabilidades Microsoft abordó su navegador Edge basado en Chromium desde el lanzamiento de septiembre de 2025 Actualización del martes de parches.
Los dos días cero de Windows que han sido objeto de explotación activa son los siguientes:
- CVE-2025-24990 (Puntuación CVSS: 7,8) – Vulnerabilidad de elevación de privilegios del controlador de módem Agere de Windows («ltmdm64.sys»)
- CVE-2025-59230 (Puntuación CVSS: 7,8) – Vulnerabilidad de elevación de privilegios del Administrador de conexión de acceso remoto de Windows (RasMan)
Microsoft dijo que ambos problemas podrían permitir a los atacantes ejecutar código con privilegios elevados, aunque actualmente no hay indicios de cómo están siendo explotados y qué tan extendidos pueden estar estos esfuerzos. En el caso de CVE-2025-24990, la compañía dijo que planea eliminar el controlador por completo, en lugar de publicar un parche para un componente heredado de terceros.
El defecto de seguridad ha sido descrito como «peligroso» por Alex Vovk, CEO y cofundador de Action1, ya que está basado en un código heredado instalado de forma predeterminada en todos los sistemas Windows, independientemente de si el hardware asociado está presente o en uso.
«El controlador vulnerable viene con todas las versiones de Windows, hasta Server 2025 inclusive», dijo Adam Barnett, ingeniero de software líder en Rapid7. «¿Tal vez su módem de fax usa un conjunto de chips diferente, por lo que no necesita el controlador Agere? ¿Quizás simplemente descubrió el correo electrónico? Mala suerte. Su PC aún es vulnerable y un atacante local con una cuenta con privilegios mínimos puede ascender a administrador».
Según Satnam Narang, ingeniero de investigación senior de Tenable, CVE-2025-59230 es la primera vulnerabilidad en RasMan que se explota como día cero. Microsoft ha solucionado más de 20 fallos en el componente desde enero de 2022.
La tercera vulnerabilidad que ha sido explotada en ataques del mundo real se refiere a un caso de omisión de arranque seguro en IGEL OS antes del 11 (CVE-2025-47827puntuación CVSS: 4,6). Los detalles sobre la falla fueron los primeros divulgado públicamente por el investigador de seguridad Zack Didcott en junio de 2025.
«Los impactos de una omisión de arranque seguro pueden ser significativos, ya que los actores de amenazas pueden implementar un rootkit a nivel de kernel, obteniendo acceso al sistema operativo IGEL y, por extensión, luego alterar los escritorios virtuales, incluida la captura de credenciales», dijo Kev Breen, director senior de investigación de amenazas en Immersive.
«Cabe señalar que este no es un ataque remoto y que normalmente se requiere acceso físico para explotar este tipo de vulnerabilidad, lo que significa que los ataques estilo 'criada malvada' son el vector más probable que afecta a los empleados que viajan con frecuencia».
Desde entonces, los tres problemas se han agregado a las vulnerabilidades explotadas conocidas de la Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) (KEV), requiriendo que las agencias federales apliquen los parches antes del 4 de noviembre de 2025.
Algunas otras vulnerabilidades críticas a destacar incluyen un error de ejecución remota de código (RCE) (CVE-2025-59287puntuación CVSS: 9,8) en Windows Server Update Service (WSUS), una vulnerabilidad de lectura fuera de límites en la función auxiliar CryptHmacSign de la implementación de referencia TPM2.0 de Trusted Computing Group (TCG) (CVE-2025-2884puntuación CVSS: 5,3) y un RCE en el análisis de URL de Windows (CVE-2025-592958.8).
«Un atacante puede aprovechar esto construyendo cuidadosamente una URL maliciosa», dijo Ben McCarthy, ingeniero jefe de ciberseguridad de Immersive. «Los datos desbordados se pueden diseñar para sobrescribir datos críticos del programa, como un puntero de función o el puntero de la tabla de funciones virtuales (vtable) de un objeto».
«Cuando la aplicación intenta utilizar este puntero corrupto, en lugar de llamar a una función legítima, redirige el flujo de ejecución del programa a una dirección de memoria controlada por el atacante. Esto le permite al atacante ejecutar código arbitrario (shellcode) en el sistema de destino».
Dos vulnerabilidades con la puntuación CVSS más alta en la actualización de este mes se relacionan con una falla de escalada de privilegios en el componente de gráficos de Microsoft (CVE-2025-49708puntuación CVSS: 9,9) y una función de omisión de seguridad en ASP.NET (CVE-2025-55315puntuación CVSS: 9,9).
Si bien la explotación de CVE-2025-55315 requiere que el atacante se autentique primero, se puede abusar de él para eludir de forma encubierta los controles de seguridad y llevar a cabo acciones maliciosas al introducir de contrabando una segunda solicitud HTTP maliciosa dentro del cuerpo de su solicitud autenticada inicial.
«Una organización debe priorizar parchear esta vulnerabilidad porque invalida la promesa de seguridad central de la virtualización», explicó McCarthy con respecto a CVE-2025-49708, caracterizándola como una falla de alto impacto que conduce a un escape total de la máquina virtual (VM).
«Un exploit exitoso significa que un atacante que obtiene acceso incluso con privilegios bajos a una única máquina virtual invitada no crítica puede romper y ejecutar código con privilegios de SISTEMA directamente en el servidor host subyacente. Esta falla de aislamiento significa que el atacante puede luego acceder, manipular o destruir datos en todas las demás máquinas virtuales que se ejecutan en ese mismo host, incluidos controladores de dominio, bases de datos o aplicaciones de producción de misión crítica.
Fuente