Microsoft abordó el martes un conjunto de 80 fallas de seguridad en su software, incluida una vulnerabilidad que se ha revelado como públicamente conocido en el momento del impulso.
De las 80 vulnerabilidades, ocho son calificados como críticos y 72 tienen una calificación importante en la peligro. Ninguna de las deficiencias ha sido explotada en la naturaleza como un día cero. Al igual que el mes pasado, 38 de los defectos revelados están relacionados con la subida de privilegios, seguido de la ejecución de código remoto (22), la divulgación de información (14) y la negativa de servicio (3).
“Por tercera vez este año, Microsoft reparó más la elevación de las vulnerabilidades de privilegios que las fallas de ejecución de código remoto”, dijo Satnam Narang, ingeniero de investigación de personal senior de Tenable. “Casi el 50% (47.5%) de todos los errores este mes son vulnerabilidades de subida de privilegios”.
Los parches se suman a 12 vulnerabilidades abordadas en el navegador de borde basado en Chromium de Microsoft desde el impulso de la modernización del parche de agosto de 2025 el martes, incluido un error de derivación de seguridad (CVE-2025-53791, puntaje CVSS: 4.7) que ha sido parcheado en la interpretación 140.0.3485.54 del Browser.
La vulnerabilidad que se ha afectado como conocida públicamente es CVE-2025-55234 (puntaje CVSS: 8.8), un caso de subida de privilegios en Windows SMB.
“El servidor SMB podría ser susceptible a los ataques de retransmisión dependiendo de la configuración”, dijo Microsoft. “Un atacante que explotó con éxito estas vulnerabilidades podría realizar ataques de retransmisión y hacer que los usuarios estén sujetos a la elevación de los ataques de privilegios”.
El fabricante de Windows dijo que la modernización permite el soporte para auditar la compatibilidad del cliente SMB para la firma del servidor SMB, así como la EPA del servidor SMB, lo que permite a los clientes evaluar su entorno y detectar cualquier problema potencial de incompatibilidad de dispositivos o software antaño de implementar las medidas de endurecimiento apropiadas.
“La conclusión secreto de la Asesor de CVE-2025-55234, separado de la explicación de la conocida superficie de ataque en torno a la autenticación de SMB, es que este es uno de esos momentos en los que simplemente parches no es suficiente; de hecho, los parches proporcionan a los administradores más opciones de auditoría para determinar si su servidor SMB está interactuando con los clientes que no respalden las opciones recomendadas de endurecimiento”, dice Adam Barnett, líder de Software Rapid 7, dice.
Mike Walters, presidente y cofundador de la movimiento, dijo que la vulnerabilidad proviene del hecho de que las sesiones de SMB pueden establecerse sin validar adecuadamente el contexto de autenticación cuando no se implementan medidas de endurecimiento secreto, como la firma de SMB y la protección extendida para la autenticación.
“Esta brecha abre la puerta a los ataques de retransmisión del hombre en el medio, donde los atacantes pueden capturar y reenviar material de autenticación para obtener entrada no calificado”, agregó Walters. “Puede convertirse fácilmente en parte de una campaña más amplia, pasando del phishing al licenciatura SMB, el robo de credenciales, el movimiento anexo y, finalmente, la exfiltración de datos”.
El CVE con la puntuación CVSS más reincorporación para este mes es CVE-2025-54914 (puntaje CVSS: 10.0), una falta crítica que afecta las redes azules que podría resultar en una subida privilegiada. No requiere movimiento del cliente, donado que es una vulnerabilidad relacionada con la nimbo.
Otras dos deficiencias que merecen atención incluyen una falta de ejecución de código remoto en el paquete de Microsoft High Performance Compute (HPC) (CVE-2025-55232, puntaje CVSS: 9.8) y una elevación de un problema de privilegio que afecta a Windows NTLM (CVE-2025-54918, puntaje CVSS: 8.8) que podría permitir a un atacante de Windows a obtener privilegios de sistema.
“Desde la descripción limitada de Microsoft, parece que si un atacante puede remitir paquetes especialmente elaborados a través de la red hasta el dispositivo objetivo, tendría la capacidad de obtener privilegios a nivel de sistema en la máquina objetivo”, dijo Kev Breen, director senior de investigación de amenazas en Immersive.
“Las notas del parche para esta vulnerabilidad afirman que ‘la autenticación inadecuada en Windows NTLM permite a un atacante calificado elevar los privilegios sobre una red,’ sugiriendo que un atacante ya debe precisar tener entrada al hash NTLM o las credenciales del usufructuario”.
Por posterior, la modernización incluso remedia un defecto de seguridad (CVE-2024-21907, puntaje CVSS: 7.5) en Newtonsoft.json, un componente de terceros utilizado en SQL Server, que podría explotarse para activar una condición de denegación de servicio, así como dos vulnerabilidades de privilegio de vulnerabilidades de Windows (CVE-2025-549111911, como dos vulnerabilidades de privilegio de vulnerabilidades de Windows (CVE-2025-54911, como dos vulnerabilidades de privilegio, 7. y CVE-2025-54912, puntaje CVSS: 7.8).
Hussein Alrubaye de Microsoft ha sido acreditado por descubrir e informar los dos defectos de BitLocker. Las dos fallas se suman a otras cuatro vulnerabilidades (indicación colectivamente BitunNlocker) en la función de oculto de disco completo que Microsoft parchó en julio de 2025 –
- CVE-2025-48003 (Puntuación CVSS: 6.8)-Vulnerabilidad de derivación de la función de seguridad de BitLocker a través de la operación programada de Winre Apps
- CVE-2025-48800 (puntaje CVSS: 6.8)-Vulnerabilidad de derivación de la característica de seguridad de BitLocker al dirigir el reactivo.
- CVE-2025-48804 (Puntuación CVSS: 6.8)-Vulnerabilidad de derivación de características de seguridad de BitLocker al apuntar a Boot.sdi analizando
- CVE-2025-48818 (puntuación CVSS: 6.8)-Vulnerabilidad de derivación de la función de seguridad de BitLocker al orientar datos de configuración de inicio (BCD)
La explotación exitosa de cualquiera de los cuatro fallas anteriores podría permitir que un atacante con entrada físico al objetivo de silenciar las protecciones de BitLocker y obtener entrada a datos cifrados.
“Para mejorar aún más la seguridad de BitLocker, recomendamos habilitar TPM+PIN para la autenticación previa al pillaje”, dijeron las pruebas de seguridad y la investigación ataque en los investigadores de Microsoft (Storm) Netanel Ben Simon y Alon Leviev en un referencia el mes pasado. “Esto reduce significativamente las superficies de ataque de bitlocker al recortar la exposición solo a la TPM”.
“Para mitigar los ataques de rebajas de BitLocker, asesoramos a habilitar la mitigación de revisión. Este mecanismo impone versiones seguras en componentes críticos de inicio, evitando las rebajas que podrían reintroducir vulnerabilidades conocidas en BitLocker y Secure Boot”.
La divulgación se produce cuando Purple Team detalló una nueva técnica de movimiento anexo denominado BitLockmove que implica la manipulación remota de las teclas de registro de BitLocker a través de Windows Management Instrumentation (WMI) para secuestrar objetos COM específicos de BitLocker.
BitLockmove, desarrollado por el investigador de seguridad Fabian Mosch, trabaja iniciando una conexión remota con el host objetivo a través de WMI y copiando una DLL maliciosa al objetivo sobre SMB. En la futuro etapa, el atacante escribe una nueva secreto de registro que especifica la ruta DLL, lo que finalmente hace que BitLocker cargue el DLL copiado secuestrando sus objetos COM.
“El propósito del secuestro de BitLocker COM es ejecutar el código bajo el contexto del usufructuario interactivo en un host objetivo”, dijo Purple Team. “En el caso de que el usufructuario interactivo tenga privilegios excesivos (es opinar, administrador de dominio), esto incluso podría conducir a una subida de dominio”.
Parches de software de otros proveedores
Adicionalmente de Microsoft, otros proveedores incluso han osado actualizaciones de seguridad en las últimas semanas para rectificar varias vulnerabilidades, incluidas, incluidas
- Adobe
- Apoyo
- Broadcom (incluido VMware)
- Cisco
- Comunicado
- Dar a luz
- Drupal
- F5
- Fortra
- Fujifilm
- Gigabyte
- Gitlab
- Google Android y Pixel
- Google Chrome
- Google Cloud
- Google Wear OS
- Caminata
- Energía de Hitachi
- HP
- HP Enterprise (incluida la red de Aruba)
- IBM
- Ámbito
- Jenkins
- Redes de enebro
- Lenovo
- Distribuciones de Linux Almalinux, Alpine Linux, Amazon Linux, Arch Linux, Debian, Gentoo, Oracle Linux, Mageia, Red Hat, Rocky Linux, Suse y Ubuntu
- Mediatokek
- Mitsubishi Electric
- Mox
- Mozilla Firefox, Firefox ESR y Thunderbird
- Nvidia
- Qnap
- Qualcomm
- Rockwell Automation
- Salesforce
- Samsung
- SAVIA
- Schneider Electric
- Siemens
- Sitecore
- Sófos
- Ámbito de primavera
- Supermicro
- Sinología
- TP-Link, y
- Teleobjetivo
