Bienvenido al blog de Undercode   Click to listen highlighted text! Bienvenido al blog de Undercode
Inicio Noticias Microsoft corrige 183 vulnerabilidades, 3 activamente explotadas

Microsoft corrige 183 vulnerabilidades, 3 activamente explotadas

por Dragora

Microsoft ha publicado su actualización mensual de seguridad de octubre de 2025, abordando 183 vulnerabilidades que afectan a una amplia gama de productos, incluidas versiones de Windows, Azure, Office, .NET, Visual Studio y Exchange Server. Entre ellas, destacan tres vulnerabilidades activamente explotadas que elevan el nivel de riesgo, justo cuando el gigante tecnológico da por finalizado el soporte oficial de Windows 10, salvo para los equipos inscritos en el programa Extended Security Updates (ESU).


 Un resumen de las 183 vulnerabilidades parcheadas

De acuerdo con los informes oficiales, 165 vulnerabilidades fueron clasificadas como “importantes”, 17 como “críticas” y una como “moderada”, además de ocho CVE no publicadas directamente por Microsoft.
La distribución por tipo revela la naturaleza del desafío que enfrenta la compañía:

  • 84 fallas de elevación de privilegios,

  • 33 de ejecución remota de código (RCE),

  • 28 de divulgación de información,

  • 14 de suplantación de identidad,

  • 11 de denegación de servicio, y

  • 11 de omisión de funciones de seguridad.

Estas actualizaciones se suman a las 25 vulnerabilidades corregidas en el navegador Edge basado en Chromium desde la última ronda de parches en septiembre, reforzando el ecosistema frente a ataques dirigidos.


Tres vulnerabilidades activamente explotadas

🔸 CVE-2025-24990 – Controlador de módem Agere de Windows (CVSS 7.8)

Esta vulnerabilidad de elevación de privilegios afecta al controlador ltmdm64.sys, un componente heredado presente en todas las versiones de Windows, incluso Windows Server 2025.
Aunque se trata de un controlador obsoleto, sigue instalado de forma predeterminada, independientemente de si el hardware asociado está presente o en uso.

El CEO de Action1, Alex Vovk, calificó la falla como “altamente peligrosa”, mientras que Adam Barnett, de Rapid7, enfatizó que “cualquier atacante local con una cuenta de bajo privilegio puede escalar fácilmente a administrador”.
Microsoft planea eliminar el controlador por completo en lugar de emitir un parche.


🔸 CVE-2025-59230 – Administrador de conexiones de acceso remoto (RasMan)

Con una puntuación CVSS de 7.8, esta vulnerabilidad permite a los atacantes ejecutar código con privilegios elevados. Según Satnam Narang de Tenable, es la primera vulnerabilidad en RasMan explotada como día cero, pese a que Microsoft ha corregido más de 20 fallas en este componente desde 2022.


🔸 CVE-2025-47827 – Omitir arranque seguro en IGEL OS antes de versión 11

La tercera vulnerabilidad explotada afecta a IGEL OS, un sistema operativo de escritorios virtuales basado en Linux. Con una puntuación CVSS de 4.6, permite a los atacantes eludir el arranque seguro e instalar rootkits a nivel de kernel.
El investigador Zack Didcott reveló la falla en junio de 2025, y Kev Breen, de Immersive Labs, explicó que si bien requiere acceso físico, su impacto puede ser devastador en ataques tipo “evil maid” contra empleados que viajan con dispositivos corporativos.

Las tres vulnerabilidades ya fueron incluidas por la CISA (Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU.) en su catálogo de vulnerabilidades explotadas conocidas (KEV), obligando a las agencias federales a aplicar los parches antes del 4 de noviembre de 2025.


 Otras vulnerabilidades críticas destacadas

Entre las 183 fallas corregidas, varias destacan por su potencial de impacto masivo en sistemas corporativos:

  • CVE-2025-59287 (CVSS 9.8)Ejecución remota de código en Windows Server Update Services (WSUS).
    Un exploit exitoso podría permitir a un atacante comprometer el servicio de actualización, desplegando código malicioso en toda la red.

  • CVE-2025-2884 (CVSS 5.3)Lectura fuera de límites en la función CryptHmacSign del TPM 2.0 de TCG.
    Este error podría filtrar información sensible utilizada en módulos criptográficos.

  • CVE-2025-59295 (CVSS 8.8)Ejecución remota de código en el analizador de URL de Windows.
    Según Ben McCarthy, de Immersive, los atacantes podrían construir una URL maliciosa que sobrescriba punteros críticos del programa, permitiendo la ejecución arbitraria de shellcode en el sistema.

Dos fallas con puntuaciones CVSS de 9.9, las más altas del mes, también exigen atención inmediata:

  • CVE-2025-49708 – Falla de escalada de privilegios en Microsoft Graphics Component, que podría permitir un escape completo de máquina virtual.
    “Un atacante con acceso limitado a una sola VM podría ejecutar código con privilegios SYSTEM en el host”, advirtió McCarthy.

  • CVE-2025-55315 – Omisión de funciones de seguridad en ASP.NET.
    Aunque requiere autenticación, puede burlar controles de seguridad mediante una técnica de HTTP request smuggling.


 Parches de seguridad de otros proveedores

El martes de parches no solo involucró a Microsoft. Más de 50 fabricantes y proyectos tecnológicos también publicaron actualizaciones críticas, incluyendo:

Adobe, Amazon Web Services, AMD, Apple, Cisco, Dell, Fortinet, F5, Google, HP, IBM, NVIDIA, Oracle, Palo Alto Networks, Red Hat, Schneider Electric, Siemens, Synology, VMware, Zoom, entre otros.

Las distribuciones de Linux como Ubuntu, Debian, Red Hat, AlmaLinux, Rocky Linux y SUSE también recibieron actualizaciones esenciales para mitigar vulnerabilidades de kernel y servicios críticos.


 Recomendaciones y conclusiones

La magnitud de este ciclo de actualizaciones subraya la importancia de mantener una gestión de parches constante y priorizada. Las organizaciones deben:

  • Aplicar inmediatamente los parches críticos y los de día cero.

  • Eliminar o deshabilitar componentes heredados, como el controlador Agere.

  • Supervisar logs y comportamientos anómalos en sistemas actualizados.

  • Probar las actualizaciones en entornos controlados antes del despliegue masivo.

Con Windows 10 fuera del soporte estándar, los usuarios y empresas que no estén inscritos en el programa ESU quedarán expuestos a futuras amenazas sin mitigación oficial. En un contexto donde los ataques de cadena de suministro y las vulnerabilidades de escalada de privilegios son cada vez más comunes, mantener la infraestructura al día ya no es opcional: es una obligación estratégica.

Fuente: The Hacker News

You may also like

Dejar Comentario

Click to listen highlighted text!