Microsoft cerró 2025 con parches para 56 fallas de seguridad en varios productos en la plataforma Windows, incluida una vulnerabilidad que ha sido explotada activamente en la naturaleza.
De los 56 defectos, tres están clasificados como Críticos y 53 como Importantes en cuanto a su pesadez. Otros dos defectos figuran como de conocimiento divulgado en el momento de la publicación. Estas incluyen 29 vulnerabilidades de subida de privilegios, 18 de ejecución remota de código, cuatro de divulgación de información, tres de denegación de servicio y dos de suplantación de identidad.
En total, Microsoft ha abordado un total de 1.275 CVE en 2025, según datos recopilados por Fortra. Satnam Narang de Tenable dijo que 2025 asimismo marca el segundo año consecutivo en el que el fabricante de Windows parcheó más de 1.000 CVE. Es la tercera vez que lo hace desde el inicio del martes de parches.
La modernización se suma a 17 deficiencias que el cíclope tecnológico solucionó en su navegador Edge basado en Chromium desde el divulgación de la modernización del martes de parches de noviembre de 2025. Esto asimismo consiste en una vulnerabilidad de suplantación de identidad en Edge para iOS (CVE-2025-62223, puntuación CVSS: 4,3).
La vulnerabilidad que ha sido objeto de explotación activa es CVE-2025-62221 (puntuación CVSS: 7,8), un compensador de minifiltro de archivos en la cirro de Windows que se puede usar luego de liberar y que podría permitir a un atacante calificado elevar los privilegios localmente y obtener permisos del SISTEMA.
“Los controladores de filtro del sistema de archivos, asimismo conocidos como minifiltros, se conectan a la pila de software del sistema e interceptan las solicitudes dirigidas a un sistema de archivos, y amplían o reemplazan la funcionalidad proporcionada por el objetivo diferente”, dijo Adam Barnett, ingeniero de software líder en Rapid7, en un comunicado. “Los casos de uso típicos incluyen enigmático de datos, copia de seguridad automatizada, compresión sobre la marcha y almacenamiento en la cirro”.
“El minifiltro Cloud Files es utilizado por OneDrive, Google Drive, iCloud y otros, aunque como componente central de Windows, todavía estaría presente en un sistema donde ninguna de esas aplicaciones estuviera instalada”.
Actualmente no se sabe cómo se está abusando de la vulnerabilidad en la naturaleza y en qué contexto, pero la explotación exitosa requiere que un atacante obtenga camino a un sistema susceptible a través de otros medios. A Microsoft Threat Intelligence Center (MSTIC) y Microsoft Security Response Center (MSRC) se les atribuye el mérito de descubrir e informar la equivocación.
Según Mike Walters, presidente y cofundador de Action1, un actor de amenazas podría obtener camino con pocos privilegios a través de métodos como phishing, exploits de navegador web u otra equivocación conocida de ejecución remota de código, y luego encadenarlo con CVE-2025-62221 para tomar el control del host.
Armado con este camino, el atacante podría implementar componentes del kernel o excederse de los controladores firmados para escamotear las defensas y apoyar la persistencia, y puede estar de moda como pertrechos para conquistar un compromiso en todo el dominio cuando se combina con escenarios de robo de credenciales.
La explotación de CVE-2025-62221 ha llevado a la Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) a agregarlo al catálogo de Vulnerabilidades Explotadas Conocidas (KEV), obligando a las agencias del Poder Ejecutor Civil Federal (FCEB) a aplicar el parche antaño del 30 de diciembre de 2025.
Los dos días cero restantes se enumeran a continuación:
- CVE-2025-54100 (puntuación CVSS: 7,8): una vulnerabilidad de inyección de comandos en Windows PowerShell que permite a un atacante no calificado ejecutar código localmente
- CVE-2025-64671 (puntuación CVSS: 8,4): una vulnerabilidad de inyección de comandos en GitHub Copilot para JetBrains que permite a un atacante no calificado ejecutar código localmente
“Este es un error de inyección de comandos en la forma en que Windows PowerShell procesa el contenido web”, dijo Alex Vovk de Action1 sobre CVE-2025-54100. “Permite que un atacante no autenticado ejecute código despótico en el contexto de seguridad de un legatario que ejecuta un comando PowerShell diseñado, como Invoke-WebRequest”.
“La amenaza se vuelve significativa cuando esta vulnerabilidad se combina con patrones de ataque comunes. Por ejemplo, un atacante puede usar ingeniería social para persuadir a un legatario o administrador para que ejecute un fragmento de PowerShell usando Invoke-WebRequest, permitiendo que un servidor remoto devuelva contenido diseñado que desencadena la equivocación de observación y conduce a la ejecución del código y la implementación del implante”.
Vale la pena señalar que CVE-2025-64671 surge a raíz de un conjunto más amplio de vulnerabilidades de seguridad denominadas colectivamente IDEsaster que fue revelada recientemente por el investigador de seguridad Ari Marzouk. Los problemas surgen como resultado de amplificar capacidades de agente a un entorno de avance integrado (IDE), exponiendo nuevos riesgos de seguridad en el proceso.
Estos ataques aprovechan las inyecciones rápidas contra los agentes de inteligencia industrial (IA) integrados en los IDE y los combinan con la capa cojín del IDE para dar como resultado la divulgación de información o la ejecución de comandos.
“Esto utiliza una cautiverio de ataque ‘antigua’ que consiste en utilizar una utensilio pasivo, por lo que no forma parte exactamente de la nueva cautiverio de ataque de IDEsaster”, dijo a The Hacker News Marzouk, a quien se le atribuye favor descubierto y reportado la equivocación. “Específicamente, una utensilio pasivo de ‘ejecutar comando’ donde puedes prescindir la tira de permitidos configurada por el legatario”.
Marzouk asimismo dijo que se encontró que varios IDE eran vulnerables al mismo ataque, incluidos Kiro.dev, Cursor (CVE-2025-54131), JetBrains Junie (CVE-2025-59458), Gemini CLI, Windsurf y Roo Code (CVE-2025-54377, CVE-2025-57771 y CVE-2025-65946). Por otra parte, se ha descubierto que GitHub Copilot para Visual Studio Code es susceptible a la vulnerabilidad, aunque, en este caso, Microsoft le asignó una clasificación de pesadez “Media” sin CVE.
“La vulnerabilidad establece que es posible obtener la ejecución de código en los hosts afectados engañando al LLM para que ejecute comandos que salten las barreras de seguridad y agregue instrucciones en la configuración de ‘aprobación cibernética’ del legatario”, dijo Kev Breen, director senior de investigación de amenazas cibernéticas en Immersive.
“Esto se puede conquistar a través de la ‘Inyección cruzada de mensajes’, que es donde el mensaje no es modificado por el legatario sino por los agentes de LLM a medida que elaboran sus propios mensajes basados en el contenido de los archivos o datos recuperados de un servidor Model Context Protocol (MCP) que ha vacada popularidad entre los LLM basados en agentes”.
Parches de software de otros proveedores
Por otra parte de Microsoft, otros proveedores asimismo han decidido actualizaciones de seguridad durante las últimas semanas para rectificar múltiples vulnerabilidades, que incluyen:
- Adobe
- Servicios web de Amazon
- AMD
- Remo
- ASUS
- Atlassiano
- Bosco
- Broadcom (incluido VMware)
- Canon
- cisco
- citrix
- CODESYS
- Dell
- Devoluciones
- drupal
- F5
- Fortinet
- Fortra
- GitLab
- Google Android y Píxel
- Google Chrome
- Nubarrón de Google
- Cronómetro Google Pixel
- Energía Hitachi
- caballos de fuerza
- HP Enterprise (incluidos Aruba Networking y Juniper Networks)
- IBM
- Tecnologías de la imaginación
- Intel
- Ivanti
- lenovo
- Distribuciones de Linux AlmaLinux, Alpine Linux, Amazon Linux, Arch Linux, Debian, Gentoo, Oracle Linux, Mageia, Red Hat, Rocky Linux, SUSE y Ubuntu
- MediaTek
- Mitsubishi Electrico
- MongoDB
- moxa
- Mozilla Firefox y Firefox ESR
- Nvidia
- OPPO
- Software de progreso
- Qualcomm
- Reaccionar
- Automatización Rockwell
- Samsung
- SAVIA
- Electricidad Schneider
- siemens
- Vientos solares
- Splunk
- Sinología
- TP-Link
- GuardiaGuardia
- Teleobjetivo, y
- Zyxel
