Microsoft corrige 63 fallos, incluidos dos zero-days explotados activamente

Microsoft, el martes, lanzó su Patch Tuesday de febrero de 2025, que aborda 63 vulnerabilidades de seguridad, incluidas cuatro vulnerabilidades de día cero, de las cuales dos están siendo explotadas activamente en el mundo y dos son vulnerabilidades de día cero expuestas públicamente.

De los 63 fallos, tres son críticos, 53 son importantes y uno es moderadamente severo.

Estas vulnerabilidades ocurrieron en diferentes plataformas, incluidos Windows y Componentes de Windows, Office y Componentes de Office, Azure, Visual Studio y Servicios de Escritorio Remoto.

Además, las tres vulnerabilidades marcadas como “críticas” fueron corregidas en el Patch Tuesday de febrero de 2025. Todas estas eran fallos de ejecución remota de código (RCE), que, si se explotaban, podrían haber permitido a un atacante ejecutar código arbitrario en el dispositivo.

Además, las dos vulnerabilidades de día cero explotadas activamente en el mundo que Microsoft ha abordado en la actualización de Patch Tuesday de febrero de 2025 son:

CVE-2025-21391 (CVSS 7.1) – Vulnerabilidad de Elevación de Privilegios de Almacenamiento de Windows

Esta vulnerabilidad de Elevación de Privilegios (EoP) en el Almacenamiento de Windows permite a un atacante local y autenticado eliminar archivos específicos en un sistema.

“Un atacante solo podría eliminar archivos específicos en un sistema. Esta vulnerabilidad no permite la divulgación de ninguna información confidencial, pero podría permitir a un atacante eliminar datos que podrían incluir datos que resulten en que el servicio no esté disponible”, dice el aviso de Microsoft.

No se han revelado detalles sobre cómo se explotó esta falla en los ataques o quién la reportó.

CVE-2025-21418 (CVSS 7.8) – Vulnerabilidad de Elevación de Privilegios del Controlador de Función Auxiliar de WinSock de Windows

La segunda vulnerabilidad explotada activamente permite a un atacante ejecutar un programa diseñado para obtener privilegios de SYSTEM en Windows.

No está claro cómo se explotó esta falla en los ataques, y Microsoft afirma que fue divulgada de forma anónima.

Además, las otras dos vulnerabilidades de día cero divulgadas públicamente que fueron corregidas en la actualización de Patch Tuesday de febrero de 2025 son:

CVE-2025-21194 (CVSS 7.1) – Vulnerabilidad de Bypass de Característica de Seguridad de Microsoft Surface

Según Microsoft, esta falla del hipervisor permite a los atacantes eludir UEFI y comprometer el núcleo seguro en los dispositivos Surface. Es probable que esté vinculada a las vulnerabilidades de PixieFail.

“Esta vulnerabilidad del hipervisor se relaciona con Máquinas Virtuales dentro de una Interfaz de Firmware Extensible Unificada (UEFI) en una máquina anfitriona. En hardware específico, podría ser posible eludir el UEFI, lo que podría llevar a la compromisión del hipervisor y del núcleo seguro”, explica el aviso de Microsoft.

El gigante tecnológico acreditó a Francisco Falcón e Iván Arce de Quarkslab por descubrir y reportar la vulnerabilidad.

CVE-2025-21377 (CVSS 6.5) – Vulnerabilidad de Suplantación de Divulgación de Hash NTLM

Esta falla expone los hashes NTLM de un usuario de Windows, lo que permite a un atacante remoto robar los hashes de usuario de Windows a través de una interacción mínima con archivos y potencialmente iniciar sesión como el usuario.

“Una interacción mínima con un archivo malicioso por parte de un usuario, como seleccionar (clic único), inspeccionar (clic derecho) o realizar una acción distinta a abrir o ejecutar el archivo podría activar esta vulnerabilidad”, explica el aviso de Microsoft.

Microsoft acreditó el descubrimiento de la falla a Owen Cheung, Ivan Sheung y Vincent Yau de Cathay Pacific, Yorick Koster de Securify B.V., y Blaz Satler de 0patch de ACROS Security.

Para instalar la actualización de seguridad del Patch Tuesday de febrero de 2025, ve a Configuración > Actualización y Seguridad > Actualización de Windows y haz clic en el botón Comprobar actualizaciones.

También puedes consultar la lista completa de vulnerabilidades abordadas por Microsoft en las actualizaciones de seguridad del Patch Tuesday de febrero de 2025 aquí.