ESTOY BAJO UN CIBER ATAQUE

Alerta

microsoft

Alerta 2025-20 Vulnerabilidades de ZeroDay en productos Microsoft 

Fecha de publicación: 12/03/2025 

Fecha de actualización: 20/03/2025

Producto(s) afectado(s): 

  • Azure Agent Installer
  • .Net
  • Azure CLI
  • Windows exFAT File System
  • Microsoft Office entre otros productos

Descripción

Se han reportado vulnerabilidades criticas y de tipo ZeroDays en productos Microsoft en su ultimo boletin de seguridad de Marzo 2025 (Patch Tuesday). Entre ellas se descartan CVE-2025-24983, una vulnerabilidad de elevación de privilegios en el subsistema del kernel Win32 de Windows que permite a atacantes locales obtener privilegios de sistema mediante una condición de carrera, afectando versiones desde Windows 8.1 hasta Windows 10 y Server 2016; CVE-2025-24984 y CVE-2025-24991, vulnerabilidades de divulgación de información en Windows NTFS que permiten a atacantes con acceso físico o mediante discos maliciosos acceder a la memoria del sistema; CVE-2025-24985, una vulnerabilidad de ejecución remota de código en el controlador Fast FAT de Windows debido a desbordamientos de enteros y de búfer; CVE-2025-24993, que permite la ejecución de código o divulgación de memoria al montar discos duros virtuales maliciosos; y CVE-2025-26633, una vulnerabilidad en Microsoft Management Console que, mediante interacción del usuario, permite a atacantes eludir restricciones de seguridad y acceder a configuraciones administrativas.

Las vulnerabilidades de día cero explotadas activamente incluidas son:

  • CVE-2025-24983 (CVSSv3 7.0) – Vulnerabilidad de elevación de privilegios en el subsistema del kernel Win32 de Windows. Esta vulnerabilidad permite a un atacante local obtener privilegios de sistema en un dispositivo tras superar una condición de carrera. Filip Jurčacko lo reportó desde ESET, donde se descubrió que el exploit se implementaba a través de la puerta trasera PipeMagic y afectaba a versiones anteriores de Windows, como Windows 8.1 y Server 2012 R2. La vulnerabilidad también está presente en versiones más recientes del sistema operativo Windows, como Windows 10 (build 1809) y Windows Server 2016.
  • CVE-2025-24985 (CVSSv3 7.8) – Vulnerabilidad de ejecución remota de código en el controlador del sistema de archivos Fast FAT de Windows Esta vulnerabilidad es una combinación de defectos de desbordamiento de enteros y desbordamiento de búfer basados ​​en montón en el controlador del sistema de archivos Fast FAT de Windows.
  • CVE-2025-24993 (CVSSv3 7.8)– Vulnerabilidad de ejecución remota de código en Windows NTFS Un atacante podría explotar estas vulnerabilidades engañando a un objetivo para que monte un disco duro virtual malicioso, lo que podría provocar la ejecución de código local o la divulgación del contenido de la memoria.
  • CVE-2025-26633 (CVSSv3 7.0) – Vulnerabilidad de omisión de características de seguridad de Microsoft Management Console. La explotación requiere la interacción del usuario, donde un atacante debe convencer a un usuario para que haga clic en un vínculo malicioso o abra un archivo malicioso para eludir las restricciones de seguridad y obtener acceso no autorizado a herramientas administrativas o configuraciones del sistema.

Varias de estas vulnerabilidades estan siendo explotadas activamente, recomendamos tomar medidas al respecto lo mas pronto posible. 

A continuación se listan todas las vulnerabilidades abordas por el ultimo parche de seguridad publicado por Microsoft:

EtiquetaIdentificación CVETítulo CVEGravedad
Microsoft OfficeCVE-2025-24057Vulnerabilidad de ejecución remota de código en Microsoft OfficeCrítico
Cliente de escritorio remotoCVE-2025-26645Vulnerabilidad de ejecución remota de código en el cliente de escritorio remotoCrítico
Rol: Servidor DNSCVE-2025-24064Vulnerabilidad de ejecución remota de código en el Servicio de nombres de dominio de WindowsCrítico
Servicios de Escritorio remoto de WindowsCVE-2025-24035Vulnerabilidad de ejecución remota de código en los Servicios de Escritorio remoto de WindowsCrítico
Servicios de Escritorio remoto de WindowsCVE-2025-24045Vulnerabilidad de ejecución remota de código en los Servicios de Escritorio remoto de WindowsCrítico
Subsistema de Windows para LinuxCVE-2025-24084Vulnerabilidad de ejecución remota de código en el kernel del subsistema de Windows para Linux (WSL2)Crítico
.NETCVE-2025-24043Vulnerabilidad de ejecución remota de código en WinDbgImportante
ASP.NET Core y Visual StudioCVE-2025-24070Vulnerabilidad de elevación de privilegios en ASP.NET Core y Visual StudioImportante
Instalador del agente de AzureCVE-2025-21199Vulnerabilidad de elevación de privilegios en el instalador del agente de Azure para copia de seguridad y recuperación de sitiosImportante
Arco azulCVE-2025-26627Vulnerabilidad de elevación de privilegios del instalador de Azure ArcImportante
CLI de AzureCVE-2025-24049Vulnerabilidad de elevación de privilegios en la integración de la línea de comandos (CLI) de AzureImportante
Flujo de comandos de AzureCVE-2025-24986Vulnerabilidad de ejecución remota de código en Azure PromptflowImportante
Controlador de servicio de transmisión de kernel WOW ThunkCVE-2025-24995Vulnerabilidad de elevación de privilegios en el controlador del servicio WOW Thunk de Kernel StreamingImportante
Servidor de autoridad de seguridad local de Microsoft (lsasrv)CVE-2025-24072Vulnerabilidad de elevación de privilegios en el servidor de autoridad de seguridad local (LSA) de MicrosoftImportante
Consola de administración de MicrosoftCVE-2025-26633Vulnerabilidad de omisión de funciones de seguridad de Microsoft Management ConsoleImportante
Microsoft OfficeCVE-2025-24083Vulnerabilidad de ejecución remota de código en Microsoft OfficeImportante
Microsoft OfficeCVE-2025-26629Vulnerabilidad de ejecución remota de código en Microsoft OfficeImportante
Microsoft OfficeCVE-2025-24080Vulnerabilidad de ejecución remota de código en Microsoft OfficeImportante
Acceso a Microsoft OfficeCVE-2025-26630Vulnerabilidad de ejecución remota de código en Microsoft AccessImportante
Microsoft Office ExcelCVE-2025-24081Vulnerabilidad de ejecución remota de código en Microsoft ExcelImportante
Microsoft Office ExcelCVE-2025-24082Vulnerabilidad de ejecución remota de código en Microsoft ExcelImportante
Microsoft Office ExcelCVE-2025-24075Vulnerabilidad de ejecución remota de código en Microsoft ExcelImportante
Microsoft Office WordCVE-2025-24077Vulnerabilidad de ejecución remota de código en Microsoft WordImportante
Microsoft Office WordCVE-2025-24078Vulnerabilidad de ejecución remota de código en Microsoft WordImportante
Microsoft Office WordCVE-2025-24079Vulnerabilidad de ejecución remota de código en Microsoft WordImportante
Servicio de transmisión de MicrosoftCVE-2025-24046Vulnerabilidad de elevación de privilegios del controlador del servicio de transmisión del núcleoImportante
Servicio de transmisión de MicrosoftCVE-2025-24067Vulnerabilidad de elevación de privilegios del controlador del servicio de transmisión del núcleoImportante
Microsoft WindowsCVE-2025-25008Vulnerabilidad de elevación de privilegios en Windows ServerImportante
Microsoft WindowsCVE-2024-9157Synaptics: CVE-2024-9157 Vulnerabilidad de carga de DLL de binarios del servicio SynapticsImportante
Rol: Windows Hyper-VCVE-2025-24048Vulnerabilidad de elevación de privilegios en Windows Hyper-VImportante
Rol: Windows Hyper-VCVE-2025-24050Vulnerabilidad de elevación de privilegios en Windows Hyper-VImportante
Visual StudioCVE-2025-24998Vulnerabilidad de elevación de privilegios en Visual StudioImportante
Visual StudioCVE-2025-25003Vulnerabilidad de elevación de privilegios en Visual StudioImportante
Código de Visual StudioCVE-2025-26631Vulnerabilidad de elevación de privilegios en Visual Studio CodeImportante
Controlador del sistema de archivos de registro común de WindowsCVE-2025-24059Vulnerabilidad de elevación de privilegios del controlador del sistema de archivos de registro común de WindowsImportante
Servicio multidispositivo de WindowsCVE-2025-24994Vulnerabilidad de elevación de privilegios en el servicio multidispositivo de Microsoft WindowsImportante
Servicio multidispositivo de WindowsCVE-2025-24076Vulnerabilidad de elevación de privilegios en el servicio multidispositivo de Microsoft WindowsImportante
Sistema de archivos exFAT de WindowsCVE-2025-21180Vulnerabilidad de ejecución remota de código en el sistema de archivos exFAT de WindowsImportante
Controlador FAT rápido de WindowsCVE-2025-24985Vulnerabilidad de ejecución remota de código en el controlador del sistema de archivos Fast FAT de WindowsImportante
Explorador de archivos de WindowsCVE-2025-24071Vulnerabilidad de suplantación de identidad en el Explorador de archivos de Microsoft WindowsImportante
Memoria del núcleo de WindowsCVE-2025-24997Vulnerabilidad de denegación de servicio en archivo del núcleo gráfico de DirectXImportante
Controladores de modo kernel de WindowsCVE-2025-24066Vulnerabilidad de elevación de privilegios del controlador del servicio de transmisión del núcleoImportante
Mapa de Windows URL a zonaCVE-2025-21247Vulnerabilidad de omisión de la función de seguridad MapUrlToZoneImportante
Marca de Windows de la Web (MOTW)CVE-2025-24061Vulnerabilidad de omisión de la función de seguridad Mark of the Web de WindowsImportante
Sistema operativo Windows NTFSCVE-2025-24993Vulnerabilidad de ejecución remota de código en Windows NTFSImportante
Sistema operativo Windows NTFSCVE-2025-24984Vulnerabilidad de divulgación de información de Windows NTFSImportante
Sistema operativo Windows NTFSCVE-2025-24992Vulnerabilidad de divulgación de información de Windows NTFSImportante
Sistema operativo Windows NTFSCVE-2025-24991Vulnerabilidad de divulgación de información de Windows NTFSImportante
Windows NTLMCVE-2025-24996Vulnerabilidad de suplantación de identidad en la divulgación de hash NTLMImportante
Windows NTLMCVE-2025-24054Vulnerabilidad de suplantación de identidad en la divulgación de hash NTLMImportante
Servicio de enrutamiento y acceso remoto de Windows (RRAS)CVE-2025-24051Vulnerabilidad de ejecución remota de código del Servicio de enrutamiento y acceso remoto de Windows (RRAS)Importante
Servidor de telefonía de WindowsCVE-2025-24056Vulnerabilidad de ejecución remota de código en el servicio de telefonía de WindowsImportante
Controlador de vídeo USB de WindowsCVE-2025-24988Vulnerabilidad de elevación de privilegios en el controlador del sistema de clase de vídeo USB de WindowsImportante
Controlador de vídeo USB de WindowsCVE-2025-24987Vulnerabilidad de elevación de privilegios en el controlador del sistema de clase de vídeo USB de WindowsImportante
Controlador de vídeo USB de WindowsCVE-2025-24055Vulnerabilidad de divulgación de información del controlador del sistema de clase de vídeo USB de WindowsImportante
Subsistema del núcleo Win32 de WindowsCVE-2025-24044Vulnerabilidad de elevación de privilegios en el subsistema del núcleo Win32 de WindowsImportante
Subsistema del núcleo Win32 de WindowsCVE-2025-24983Vulnerabilidad de elevación de privilegios en el subsistema del núcleo Win32 de WindowsImportante

Se han recibido reportes de que ya existen PoC publicados, especialmente de la vulnerabilidad CVE-2025-24071 que permite la fuga de hashes NTLM al extraer archivos especialmente diseñados de archivos RAR/ZIP. La publicación de PoC, podría acelerar la generación de exploit, recomendamos tomar medidas para mitigar dicha vulnerabilidad y las demás publicadas en este boletín.

Solución

El proveedor ha emitido un parche de seguridad que puede encontrarlo en el siguiente enlace: 

https://msrc.microsoft.com/update-guide/releaseNote/2025-Mar

Información adicional:

Descargar PDF

ESTAMOS AQUÍ PARA AYUDARTE

¿Estás sufriendo un ciberataque?

Denúncialo aquí

recibe las últimas alertas en tu bandeja de entrada

Suscríbete a nuestro boletín

Somos un grupo de profesionales altamente capacitados con sede en I+D, con conocimientos técnicos avanzados y experiencia en la detección, análisis, contención y recuperación de incidentes de seguridad.

Somos un CSIRT, somos Cybolt.

ESTOY SUFRIENDO UN CIBERATAQUE

Explora

Servicios

Mantente informado

© 2024. Beacon Lab CSIRT, Política de privacidad

This site is registered on wpml.org as a development site. Switch to a production site key to remove this banner.