Microsoft publicó el martes correcciones por una enorme cantidad 183 fallos de seguridad que abarca sus productos, incluidas tres vulnerabilidades que han sido explotadas activamente en la naturaleza, como el gigante tecnológico oficialmente soporte finalizado para su sistema operativo Windows 10, a menos que los equipos estén inscritos en las actualizaciones de seguridad ampliadas ( ESU ) programa.
De las 183 vulnerabilidades, ocho de ellas son CVE no emitidas por Microsoft. Hasta 165 fallos han sido clasificados como importantes en cuanto a gravedad, 17 como críticos y uno como moderado. La gran mayoría de ellos están relacionados con vulnerabilidades de elevación de privilegios (84), y el resto se debe a problemas relacionados con la ejecución remota de código (33), la divulgación de información (28), la suplantación de identidad (14), la denegación de servicio (11) y la elusión de las funciones de seguridad (11).
Las actualizaciones se suman a las 25 vulnerabilidades Microsoft abordó en su navegador Edge basado en Chromium desde el lanzamiento de septiembre de 2025 Actualización de Patch Tuesday .
Los dos días cero de Windows que han sido explotados activamente son los siguientes:
- CVE-2025-24990 (Puntuación CVSS: 7.8) - Vulnerabilidad de elevación de privilegios del controlador de módem Agere de Windows (» ltmdm64.sys «)
- CVE-2025-59230 (Puntuación CVSS: 7,8): Vulnerabilidad de elevación de privilegios del Administrador de conexiones de acceso remoto de Windows (RasMan)
Microsoft dijo que ambos problemas podrían permitir a los atacantes ejecutar código con privilegios elevados, aunque actualmente no hay indicios de cómo se están explotando ni de qué tan generalizados pueden estar estos esfuerzos. En el caso del CVE-2025-24990, la compañía dijo que planea eliminar el controlador por completo, en lugar de publicar un parche para un componente heredado de terceros.
El defecto de seguridad ha sido descrito Alex Vovk, director ejecutivo y cofundador de Action1, lo calificó de «peligroso», ya que se basa en el código heredado instalado de forma predeterminada en todos los sistemas Windows, independientemente de si el hardware asociado está presente o en uso.
«El controlador vulnerable viene con todas las versiones de Windows, incluido el Server 2025», afirma Adam Barnett, ingeniero jefe de software de Rapid7. «¿Es posible que su módem de fax utilice un chipset diferente y, por lo tanto, no necesite el controlador Agere? ¿Quizás acaba de descubrir el correo electrónico? Mala suerte. Su PC sigue siendo vulnerable y un atacante local con una cuenta con privilegios mínimos puede ascender a administrador».
Según Satnam Narang, ingeniero de investigación sénior de Tenable, la CVE-2025-59230 es la primera vulnerabilidad de RasMan que se explota como un día cero. Microsoft ha corregido más de 20 fallas en el componente desde enero de 2022.
La tercera vulnerabilidad que se ha aprovechado en los ataques del mundo real se refiere a un caso de omisión de arranque seguro en el sistema operativo IGEL antes del 11 ( CVE-2025-47827 , puntuación CVSS: 4,6). Los detalles sobre la falla fueron los primeros divulgado públicamente del investigador de seguridad Zack Didcott en junio de 2025.
«Los efectos de eludir el arranque seguro pueden ser importantes, ya que los actores de amenazas pueden implementar un rootkit a nivel de núcleo, acceder al propio sistema operativo IGEL y, por extensión, manipular los escritorios virtuales, incluida la captura de credenciales», afirma Kev Breen, director sénior de investigación de amenazas de Immersive.
«Debe tenerse en cuenta que no se trata de un ataque remoto y, por lo general, se requiere acceso físico para aprovechar este tipo de vulnerabilidad, lo que significa que los ataques al estilo «sirvienta malvada» son el vector más probable que afecte a los empleados que viajan con frecuencia».
Desde entonces, los tres problemas se han agregado a las vulnerabilidades explotadas conocidas de la Agencia de Seguridad de la Infraestructura y Ciberseguridad de la Ciberseguridad (CISA) de los Estados Unidos ( KEV ), que exige a las agencias federales aplicar los parches antes del 4 de noviembre de 2025.
Entre otras vulnerabilidades críticas destacables se incluye un error de ejecución remota de código (RCE) ( CVE-2025-59287 , puntuación CVSS: 9,8) en Windows Server Update Service (WSUS), una vulnerabilidad de lectura fuera de límites en la función auxiliar CrypthmacSign de la implementación de referencia TPM2.0 de Trusted Computing Group (TCG) ( CVE-2025-2884 , puntuación CVSS: 5.3) y un RCE en el análisis de URL de Windows ( CVE-2025-59295 , 8,8).
«Un atacante puede aprovechar esto creando cuidadosamente una URL maliciosa», afirma Ben McCarthy, ingeniero jefe de ciberseguridad de Immersive. «Los datos desbordados se pueden diseñar para sobrescribir datos críticos del programa, como el puntero de una función o el puntero de una tabla de funciones virtual (vtable) de un objeto».
«Cuando la aplicación intenta utilizar más adelante este puntero dañado, en lugar de llamar a una función legítima, redirige el flujo de ejecución del programa a una dirección de memoria controlada por el atacante. Esto permite al atacante ejecutar código arbitrario (shellcode) en el sistema objetivo».
Dos vulnerabilidades con la puntuación CVSS más alta en la actualización de este mes están relacionadas con una falla de escalamiento de privilegios en Microsoft Graphics Component ( CVE-2025-49708 , puntuación CVSS: 9,9) y una omisión de funciones de seguridad en ASP.NET ( CVE-2025-55315 , puntuación CVSS: 9,9).
Si bien la explotación del CVE-2025-55315 requiere que el atacante se autentique primero, se puede abusar de ello para burlar de forma encubierta los controles de seguridad y llevar a cabo acciones maliciosas introduciendo de forma clandestina una segunda solicitud HTTP maliciosa dentro del cuerpo de su solicitud autenticada inicial.
«Una organización debe priorizar la reparación de esta vulnerabilidad porque invalida la promesa de seguridad fundamental de la virtualización», explicó McCarthy con respecto al CVE-2025-49708, calificándolo como un defecto de alto impacto que provoca una fuga total de las máquinas virtuales (VM).
«Un exploit exitoso significa que un atacante que obtiene acceso, incluso con pocos privilegios, a una única máquina virtual invitada no crítica puede descifrar y ejecutar código con privilegios SYSTEM directamente en el servidor host subyacente. Esta falta de aislamiento significa que el atacante puede acceder, manipular o destruir los datos de cualquier otra máquina virtual que se ejecute en el mismo host, incluidos los controladores de dominio, las bases de datos o las aplicaciones de producción de misión crítica.