Microsoft corrige 8 vulnerabilidades de día cero en el Patch Tuesday de enero de 2025

Microsoft recientemente lanzó su actualización acumulativa del Patch Tuesday de enero de 2025, que incluyó actualizaciones de seguridad para 159 fallas en Windows OS, Microsoft Office, .NET, Azure, Kerberos y Windows Hyper-V.

Estas incluyeron ocho vulnerabilidades de día cero, de las cuales tres están bajo explotación activa y cinco son fallas conocidas públicamente.

“De los parches lanzados hoy, 11 están clasificados como Críticos, y los otros 148 están clasificados como Importantes en severidad. Este es el mayor número de CVEs abordados en un solo mes desde al menos 2017 y es más del doble de la cantidad habitual de CVEs corregidos en enero”, escribieron los investigadores del programa Zero Day Initiative (ZDI) de Trend Micro en un análisis.

Las tres vulnerabilidades de día cero bajo explotación activa en el entorno son CVE-2025-21333, CVE-2025-21334 y CVE-2025-21335.

Estas son vulnerabilidades de elevación de privilegios (EoP) en el Proveedor de Servicios de Virtualización de Integración del Núcleo NT de Windows Hyper-V (VSP), con una puntuación CVSS de 7.8 (importante).

Según Microsoft, explotar con éxito la vulnerabilidad podría permitir a un usuario autenticado ejecutar código con privilegios de SYSTEM.

Como es habitual, el gigante de Redmond no ha proporcionado información sobre cómo se están explotando estas fallas, los atacantes involucrados o la escala de los ataques.

La Agencia de Seguridad Cibernética e Infraestructura de EE. UU. (CISA) ha agregado estas fallas a su catálogo de Vulnerabilidades Conocidas Explotadas (KEV), exigiendo a las agencias federales implementar correcciones antes del 4 de febrero de 2025.

Además, echemos un vistazo a los cinco días cero divulgados públicamente que no fueron explotados por los atacantes y que han sido corregidos en la actualización acumulativa del Patch Tuesday de enero de 2025:

CVE-2025-21186, CVE-2025-21366 y CVE-2025-21395: Estas tres vulnerabilidades, cada una clasificada con 7.8 en la escala CVSS (importante), son fallas de Ejecución Remota de Código (RCE) en Microsoft Access que se activan al abrir documentos de Access maliciosamente elaborados.

La compañía ha abordado estas vulnerabilidades bloqueando el acceso a las siguientes extensiones:

• accdb
• accde
• accdw
• accdt
• accda
• accdr
• accdu

Microsoft acreditó a Unpatched.ai, una plataforma de caza de vulnerabilidades asistida por IA, por encontrar los tres problemas de Microsoft Access.

Las otras dos vulnerabilidades de día cero divulgadas públicamente y no explotadas son CVE-2025-21275 (CVSS: 7.8) en el Instalador de Paquetes de Aplicaciones de Windows y CVE-2025-21308 (CVSS: 6.5) en Temas de Windows que fueron corregidos en el Patch Tuesday de enero de 2025.

En el caso de la falla CVE-2025-21275, podría permitir a un atacante obtener privilegios de SYSTEM si se explota con éxito. Por otro lado, la vulnerabilidad CVE-2025-21308 puede ser explotada simplemente previsualizando un archivo de Tema malicioso en el Explorador de Windows.

“Un atacante tendría que convencer al usuario de cargar un archivo malicioso en un sistema vulnerable, típicamente mediante un atractivo en un correo electrónico o mensaje de mensajería instantánea, y luego convencer al usuario de manipular el archivo especialmente elaborado, pero no necesariamente hacer clic o abrir el archivo malicioso”, explica el aviso de Microsoft sobre CVE-2025-21308.

Además de las ocho vulnerabilidades de día cero mencionadas, la compañía también corrigió las siguientes fallas críticas:

• CVE-2025-21178 (puntuación CVSS: 8.8) – Vulnerabilidad de Ejecución Remota de Código en Visual Studio
• CVE-2025-21294 (puntuación CVSS: 8.1) – Vulnerabilidad de Ejecución Remota de Código en la Autenticación Digest de Microsoft
• CVE-2025-21295 (puntuación CVSS: 8.1) – Vulnerabilidad de Ejecución Remota de Código en el Mecanismo de Seguridad de Negociación Extendida (NEGOEX) de SPNEGO
• CVE-2025-21296 (puntuación CVSS: 7.5) – Vulnerabilidad de Ejecución Remota de Código en BranchCache
• CVE-2025-21297 (puntuación CVSS: 8.1) – Vulnerabilidad de Ejecución Remota de Código en los Servicios de Escritorio Remoto de Windows
• CVE-2025-21298 (puntuación CVSS: 9.8) – Vulnerabilidad de Ejecución Remota de Código en el Vínculo y Embebido de Objetos de Windows (OLE)
• CVE-2025-21307 (puntuación CVSS: 9.8) – Vulnerabilidad de Ejecución Remota de Código en el Controlador de Transporte Multicast Fiable de Windows (RMCAST)
• CVE-2025-21309 (puntuación CVSS: 8.1) – Vulnerabilidad de Ejecución Remota de Código en los Servicios de Escritorio Remoto de Windows
• CVE-2025-21311 (puntuación CVSS: 9.8) – Vulnerabilidad de Elevación de Privilegios de Windows NTLM V1
• CVE-2025-21380 (puntuación CVSS: 8.8) – Vulnerabilidad de Divulgación de Información de Recursos SaaS de Azure Marketplace
• CVE-2025-21385 (puntuación CVSS: 8.8) – Vulnerabilidad de Divulgación de Información de Microsoft Purview

Para obtener información detallada sobre las 159 vulnerabilidades, puede hacer clic aquí.

Se recomienda aplicar las últimas actualizaciones de seguridad para garantizar la protección contra estas vulnerabilidades.