{"id":11069,"date":"2025-10-15T14:33:09","date_gmt":"2025-10-15T20:33:09","guid":{"rendered":"https:\/\/beaconlab.us\/?post_type=publicacion&#038;p=11069"},"modified":"2025-10-16T10:04:47","modified_gmt":"2025-10-16T16:04:47","slug":"lerta-2025-83-multiples-vulnerabilidades-en-windows","status":"publish","type":"publicacion","link":"https:\/\/beaconlab.us\/es\/publicacion\/lerta-2025-83-multiples-vulnerabilidades-en-windows\/","title":{"rendered":"Alerta 2025-83 Multiples Vulnerabilidades en Windows"},"content":{"rendered":"\n<h2 class=\"wp-block-heading\">Producto(s) afectado(s):&nbsp;<\/h2>\n\n\n\n<ul class=\"wp-block-list\">\n<li>Diversos productos de Microsoft<\/li>\n<\/ul>\n\n\n\n<h2 class=\"wp-block-heading\">Descripci\u00f3n<\/h2>\n\n\n\n<p>Microsoft corrigi\u00f3 <strong>180 vulnerabilidades<\/strong> en octubre de 2025, incluyendo tres activamente explotadas (D\u00edas Cero). Las fallas m\u00e1s cr\u00edticas son la <strong>CVE-2025-59287 (WSUS)<\/strong> con <strong>CVSS 9.8<\/strong> (RCE por deserializaci\u00f3n), la <strong>CVE-2025-55315 (ASP.NET)<\/strong> con <strong>CVSS 9.9<\/strong> (<em>Request Smuggling<\/em>), y la <strong>CVE-2025-49708 (VM Escape)<\/strong> con <strong>CVSS 9.9<\/strong>. Estas vulnerabilidades permiten el control total del servidor, la evasi\u00f3n de seguridad y la ejecuci\u00f3n de c\u00f3digo en <em>hosts<\/em> desde m\u00e1quinas virtuales, lo cual compromete la confidencialidad, integridad y disponibilidad de los entornos Windows.<\/p>\n\n\n\n<p>Vulnerabilidades destacadas:<\/p>\n\n\n\n<p><strong>CVE-2025-24990 \/ CVE-2025-24052 (ltmdm64.sys \u2014 controlador Agere)<\/strong><\/p>\n\n\n\n<p>Los <strong>CVE-2025-24990 con &nbsp;&nbsp;<\/strong><strong>CVSS: 7,8 y CVE-<\/strong><strong>2025-24052 con CVSS: 7,8 <\/strong>son una vulnerabilidad de corrupci\u00f3n de memoria en modo kernel que permite ejecuci\u00f3n de c\u00f3digo con privilegios de <em>ring 0<\/em>. Un atacante local puede manipular llamadas IOCTL al controlador y sobrescribir estructuras cr\u00edticas del kernel. Esto permite instalar rootkits, desactivar mecanismos de seguridad (EDR\/AV) y obtener control total del sistema. El riesgo es elevado incluso si el hardware no est\u00e1 presente, ya que el controlador vulnerable puede cargarse por defecto. Indicadores: llamadas IOCTL inusuales, BSOD tras carga del driver, o m\u00f3dulos kernel no firmados.<\/p>\n\n\n\n<p><strong>CVE-2025-59230 (RasMan \u2014 Remote Access Connection Manager)<\/strong><\/p>\n\n\n\n<p><br>La vulnerabilidad con el CVE<strong>-2025-59230 con CVSS: 7,8 <\/strong>es una escalada de privilegios locales a <strong>SYSTEM<\/strong> por validaci\u00f3n insuficiente en interfaces del servicio RasMan. Permite a un atacante con privilegios bajos ejecutar operaciones privilegiadas y obtener control total del host. Su explotaci\u00f3n puede incluir desactivaci\u00f3n de protecciones, persistencia elevada o movimiento lateral en redes Windows. Indicadores: invocaciones no autorizadas a APIs de RasMan y creaci\u00f3n de procesos con tokens elevados desde cuentas est\u00e1ndar.<\/p>\n\n\n\n<p><strong>CVE-2025-59287 (WSUS)<\/strong><\/p>\n\n\n\n<p><br>La vulnerabilidad con el <strong>CVE-2025-59287 <\/strong><strong>CVSS: 9.8, &nbsp;<\/strong>es dentro de la vulnerabilidad se identifica unaejecuci\u00f3n remota de c\u00f3digo (RCE) mediante deserializaci\u00f3n insegura en servidores WSUS. Un atacante puede enviar objetos manipulados que, al ser procesados, ejecutan c\u00f3digo arbitrario con privilegios del servicio. Esto habilita la distribuci\u00f3n de actualizaciones maliciosas o el control remoto del servidor. Indicadores: eventos de deserializaci\u00f3n fallida, tr\u00e1fico no esperado al puerto WSUS o ejecuci\u00f3n de binarios no firmados por el proceso de actualizaci\u00f3n.<\/p>\n\n\n\n<p><strong>CVE-2025-55315 (ASP.NET)<\/strong><\/p>\n\n\n\n<p><br>vulnerabilidad con el <strong>CVE-2025-55315 <\/strong><strong>CVSS: 9.9, <\/strong>es de <em>request smuggling<\/em> que permite contrabandear solicitudes HTTP dentro de otra petici\u00f3n leg\u00edtima. Puede provocar evasi\u00f3n de controles de seguridad, manipulaci\u00f3n de sesiones o ejecuci\u00f3n de operaciones no autorizadas en aplicaciones ASP.NET autenticadas. Indicadores: solicitudes con delimitadores an\u00f3malos o m\u00faltiples peticiones dentro de una sola sesi\u00f3n autenticada.<\/p>\n\n\n\n<p><strong>CVE-2025-49708 (componentes gr\u00e1ficos \/ VM escape)<\/strong><\/p>\n\n\n\n<p><br>El <strong>CVE-2025-49708 con <\/strong><strong>CVSS: 9.9, es<\/strong> unacorrupci\u00f3n de memoria en componentes gr\u00e1ficos del sistema que puede derivar en <strong>escape de m\u00e1quina virtual<\/strong> o ejecuci\u00f3n de c\u00f3digo en el host desde una VM comprometida. Permite romper el aislamiento entre entornos virtualizados y acceder a datos de otras VMs. Indicadores: excepciones del hipervisor relacionadas con subsistemas gr\u00e1ficos y actividad inusual entre VM y host.<\/p>\n\n\n\n<p><strong>CVE-2025-59295 (URL parsing)<\/strong><\/p>\n\n\n\n<p><br>El <strong>CVE-2025-59295 con <\/strong><strong>CVSS: 8.8<\/strong><strong> <\/strong>es unacorrupci\u00f3n de memoria al procesar URLs malformadas. Una URL especialmente dise\u00f1ada puede sobrescribir punteros o estructuras de ejecuci\u00f3n y permitir <strong>ejecuci\u00f3n de c\u00f3digo arbitrario<\/strong> en el contexto del proceso afectado. Indicadores: crashes o excepciones de acceso a memoria en m\u00f3dulos que parsean URLs y peticiones HTTP con par\u00e1metros inusuales o excesivamente largos.<\/p>\n\n\n\n<p><strong>CVE-2025-58718 (Microsoft Remote Desktop Client \u2014 RCE)<\/strong><\/p>\n\n\n\n<p><br>El <strong>CVE-2025-58718 con CVSS: 8.8,<\/strong><strong> <\/strong>la vulnerabilidad de <strong>ejecuci\u00f3n remota de c\u00f3digo (RCE)<\/strong> causada por&nbsp; el Cliente de Escritorio Remoto (RDP Client). Un servidor RDP malicioso puede aprovechar la gesti\u00f3n inadecuada de memoria para ejecutar c\u00f3digo arbitrario en el contexto del usuario autenticado, tras inducirlo a establecer conexi\u00f3n.<\/p>\n\n\n\n<p><strong>CVE-2025-47827 (IGEL OS &lt;11 \u2014 Secure Boot Bypass)<\/strong><\/p>\n\n\n\n<p><br>El <strong>CVE-2025-47827 con <\/strong><strong>CVSS: 4.6,<\/strong><strong> <\/strong>es una validaci\u00f3n defectuosa de la firma en im\u00e1genes del sistema que permite omitir el <em>Secure Boot<\/em>. Un atacante con acceso f\u00edsico o control previo puede modificar la imagen ra\u00edz y ejecutar c\u00f3digo antes del arranque del sistema. Impacta integridad del entorno y facilita instalaci\u00f3n de rootkits persistentes. Indicadores: im\u00e1genes rootfs alteradas, arranques desde medios externos no autorizados o firmas inv\u00e1lidas aceptadas.<\/p>\n\n\n\n<p><strong>CVE-2025-2884 (TPM 2.0 \u2014 Implementaci\u00f3n de referencia)<\/strong><\/p>\n\n\n\n<p><br>El <strong>CVE-2025-2884 con <\/strong><strong>CVSS: 5.3<\/strong><strong> <\/strong>es una lectura fuera de l\u00edmites en la funci\u00f3n CryptHmacSign, que puede provocar <strong>divulgaci\u00f3n de informaci\u00f3n sensible o denegaci\u00f3n de servicio<\/strong> del m\u00f3dulo TPM. Un atacante podr\u00eda obtener datos intermedios relacionados con operaciones criptogr\u00e1ficas o provocar fallos en procesos de arranque seguro. Indicadores: errores de firma, fallos del servicio TPM y logs con datos inesperados en operaciones de atestaci\u00f3n o BitLocker.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\">\u00a0<strong>Problemas de sincronizaci\u00f3n en Active Directory tras actualizaciones de Microsoft<\/strong><\/h2>\n\n\n\n<p>Las actualizaciones de seguridad de septiembre y octubre de 2025 (KB5065426) provocan fallos en <strong>Windows Server 2025<\/strong>, afectando funciones cr\u00edticas de <strong>Active Directory Domain Services (AD DS)<\/strong>, <strong>Microsoft Entra Connect Sync<\/strong> y <strong>DirSync<\/strong>. El error impide la sincronizaci\u00f3n completa de <strong>grupos de seguridad con m\u00e1s de 10,000 miembros<\/strong>, interrumpiendo procesos clave de autenticaci\u00f3n, replicaci\u00f3n y gesti\u00f3n de identidades en entornos h\u00edbridos.<\/p>\n\n\n\n<p>Microsoft confirm\u00f3 el problema el <strong>14 de octubre de 2025<\/strong> y desarrolla un parche correctivo. Como medida temporal, se recomienda modificar el registro del sistema para desactivar la funci\u00f3n afectada, realizar copias de seguridad y probar las actualizaciones antes de implementarlas en entornos productivos.<\/p>\n\n\n\n<p><a href=\"https:\/\/learn.microsoft.com\/en-us\/windows\/release-health\/status-windows-server-2025#directory-synchronization-fails-for-ad-security-groups-exceeding-10-000-members\">https:\/\/learn.microsoft.com\/en-us\/windows\/release-health\/status-windows-server-2025#directory-synchronization-fails-for-ad-security-groups-exceeding-10-000-members<\/a><\/p>\n\n\n\n<h2 class=\"wp-block-heading\">Soluci\u00f3n:<\/h2>\n\n\n\n<p>Se recomienda aplicar las actualizaciones publicadas por Microsoft.<\/p>\n\n\n\n<p><a href=\"https:\/\/msrc.microsoft.com\/update-guide\/releaseNote\/2025-Oct\">https:\/\/msrc.microsoft.com\/update-guide\/releaseNote\/2025-Oct<\/a><\/p>\n\n\n\n<h2 class=\"wp-block-heading\">Informaci\u00f3n adicional:<\/h2>\n\n\n\n<ul class=\"wp-block-list\">\n<li><a href=\"https:\/\/thehackernews.com\/2025\/10\/two-new-windows-zero-days-exploited-in.html\">https:\/\/thehackernews.com\/2025\/10\/two-new-windows-zero-days-exploited-in.html<\/a><\/li>\n\n\n\n<li><a href=\"https:\/\/www.bleepingcomputer.com\/news\/microsoft\/microsoft-october-2025-patch-tuesday-fixes-6-zero-days-172-flaws\/\">https:\/\/www.bleepingcomputer.com\/news\/microsoft\/microsoft-october-2025-patch-tuesday-fixes-6-zero-days-172-flaws\/<\/a><\/li>\n\n\n\n<li>https:\/\/www.tenable.com\/blog\/microsofts-october-2025-patch-tuesday-addresses-167-cves-cve-2025-24990-cve-2025-59230<\/li>\n<\/ul>\n\n\n\n<p><\/p>\n","protected":false},"featured_media":10963,"template":"","class_list":["post-11069","publicacion","type-publicacion","status-publish","has-post-thumbnail","hentry"],"acf":{"activar_pdf_link":false,"pdf":null,"numero_de_boletin":"","traffic_light_protocol":"Amber"},"aioseo_notices":[],"_links":{"self":[{"href":"https:\/\/beaconlab.us\/es\/wp-json\/wp\/v2\/publicacion\/11069","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/beaconlab.us\/es\/wp-json\/wp\/v2\/publicacion"}],"about":[{"href":"https:\/\/beaconlab.us\/es\/wp-json\/wp\/v2\/types\/publicacion"}],"version-history":[{"count":4,"href":"https:\/\/beaconlab.us\/es\/wp-json\/wp\/v2\/publicacion\/11069\/revisions"}],"predecessor-version":[{"id":11082,"href":"https:\/\/beaconlab.us\/es\/wp-json\/wp\/v2\/publicacion\/11069\/revisions\/11082"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/beaconlab.us\/es\/wp-json\/wp\/v2\/media\/10963"}],"wp:attachment":[{"href":"https:\/\/beaconlab.us\/es\/wp-json\/wp\/v2\/media?parent=11069"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}