Microsoft cerró 2025 con parches para 56 fallos de seguridad en varios productos de la plataforma Windows, incluida una vulnerabilidad que se ha explotado activamente en estado salvaje.

De los 56 defectos, tres se clasifican como críticos y 53 se clasifican como importantes en gravedad. Otros dos defectos figuran como conocidos públicamente en el momento de su publicación. Entre ellos se incluyen 29 vulnerabilidades de escalamiento de privilegios, 18 de ejecución remota de código, cuatro de revelación de información, tres de denegación de servicio y dos de suplantación de identidad.

En total, Microsoft abordó un total de 1275 CVEs en 2025, según los datos recopilados por Fortra. Satnam Narang, de Tenable, dijo que 2025 también marca el segundo año consecutivo en el que el fabricante de Windows ha parcheado más de 1000 CVE. Es la tercera vez que lo hace desde la creación del Patch Tuesday.

La actualización se suma a 17 deficiencias el gigante tecnológico ha parcheado su navegador Edge basado en Chromium desde el lanzamiento de noviembre de 2025 Actualización de Patch Tuesday . Esto también consiste en una vulnerabilidad de suplantación de identidad en Edge para iOS ( CVE-2025-62223 , puntuación CVSS: 4,3).

La vulnerabilidad que ha sido objeto de explotación activa es CVE-2025-62221 (puntuación CVSS: 7,8), un minicontrolador de minifiltro de Windows Cloud Files que se puede usar después y que podría permitir a un atacante autorizado aumentar los privilegios de forma local y obtener permisos del SISTEMA.

«Los controladores de filtro del sistema de archivos, también conocidos como minifiltros, se conectan a la pila de software del sistema e interceptan las solicitudes dirigidas a un sistema de archivos y amplían o sustituyen la funcionalidad proporcionada por el objetivo original», afirma Adam Barnett, ingeniero de software principal de Rapid7, en un comunicado. «Los casos de uso típicos incluyen el cifrado de datos, la copia de seguridad automatizada, la compresión instantánea y el almacenamiento en la nube».

«OneDrive, Google Drive, iCloud y otros utilizan el minifiltro Cloud Files, aunque como componente principal de Windows, seguiría presente en un sistema en el que no se hubiera instalado ninguna de esas aplicaciones».

Actualmente no se sabe cómo se está abusando de la vulnerabilidad en la naturaleza y en qué contexto, pero la explotación exitosa requiere que el atacante obtenga acceso a un sistema vulnerable a través de otros medios. El Centro de Inteligencia de Amenazas de Microsoft (MSTIC) y el Centro de Respuesta de Seguridad de Microsoft (MSRC) han sido los responsables de descubrir y denunciar la falla.

Según Mike Walters, presidente y cofundador de Action1, un actor de amenazas podría obtener acceso con pocos privilegios mediante métodos como la suplantación de identidad, los exploits de navegadores web u otro defecto conocido de ejecución remota de código, y luego encadenarlo con el CVE-2025-62221 para hacerse con el control del host.

Con este acceso, el atacante podría implementar componentes del núcleo o abusar de los controladores firmados para evadir las defensas y mantener la persistencia, y puede convertirse en un arma para lograr comprometer todo el dominio si se combina con situaciones de robo de credenciales.

La explotación del CVE-2025-62221 ha llevado a la Agencia de Seguridad de Infraestructura y Ciberseguridad de los Estados Unidos (CISA) a agregar es a las vulnerabilidades explotadas conocidas ( KEV ), que obliga a las agencias del Poder Ejecutivo Civil Federal (FCEB) a aplicar el parche antes del 30 de diciembre de 2025.

Los dos días cero restantes se enumeran a continuación:

  • CVE-2025-54100 (puntuación CVSS: 7,8): una vulnerabilidad de inyección de comandos en Windows PowerShell que permite a un atacante no autorizado ejecutar código localmente
  • CVE-2025-64671 (Puntuación CVSS: 8,4): una vulnerabilidad de inyección de comandos en GitHub Copilot para JetBrains que permite a un atacante no autorizado ejecutar código localmente

«Se trata de un error de inyección de comandos en la forma en que Windows PowerShell procesa el contenido web», dijo Alex Vovk, de Action1 dijo sobre CVE-2025-54100. «Permite a un atacante no autenticado ejecutar código arbitrario en el contexto de seguridad de un usuario que ejecuta un comando de PowerShell diseñado, como Invoke-WebRequest».

«La amenaza adquiere importancia cuando esta vulnerabilidad se combina con patrones de ataque comunes. Por ejemplo, un atacante puede utilizar la ingeniería social para convencer a un usuario o administrador de que ejecute un fragmento de PowerShell mediante Invoke-WebRequest, lo que permite que un servidor remoto devuelva contenido creado, lo que desencadena un error de análisis y lleva a la ejecución del código y al despliegue del implante».

Vale la pena señalar que el CVE-2025-64671 se produce a raíz de un conjunto más amplio de vulnerabilidades de seguridad denominadas colectivamente Ide Saster que fue revelado recientemente por el investigador de seguridad Ari Marzouk. Los problemas surgen como resultado de la adición de capacidades de agencia a un entorno de desarrollo integrado (IDE), lo que expone nuevos riesgos de seguridad en el proceso.

Estos ataques aprovechan las inyecciones rápidas contra los agentes de inteligencia artificial (IA) integrados en los IDE y los combinan con la capa IDE base para provocar la divulgación de información o la ejecución de comandos.

«Esto utiliza una cadena de ataque 'antigua' en la que se utiliza una herramienta vulnerable, por lo que no forma parte exactamente de la nueva cadena de ataque de IdeSaster», dijo Marzouk, a quien se le atribuye el descubrimiento y la denuncia de la falla, a The Hacker News. «Concretamente, se trata de una herramienta vulnerable de «ejecución de comandos» con la que puedes saltarte la lista de permisos configurada por el usuario».

Marzouk también dijo que varios IDE fueron declarados vulnerables al mismo ataque, incluidos Kiro.dev, Cursor ( CVE-2025-54131 ), JetBrains June ( CVE-2025-59458 ), Gemini CLI, Windsurf y Roo Code ( CVE-2025-54377 , CVE-2025-57771 , y CVE-2025-65946 ). Además, también se descubrió la misma vulnerabilidad en GitHub Copilot for VS Code.

«La vulnerabilidad indica que es posible ejecutar código en los hosts afectados engañando al LLM para que ejecute comandos que eludan las barreras y añadiendo instrucciones en la configuración de «aprobación automática» del usuario», afirma Kev Breen, director sénior de investigación de ciberamenazas de Immersive.

«Esto se puede lograr mediante la 'inyección de mensajes cruzados', que consiste en modificar el mensaje no por el usuario sino por los agentes de LLM a medida que crean sus propias solicitudes en función del contenido de los archivos o datos recuperados de un servidor de Model Context Protocol (MCP) que ha ganado popularidad entre los LLM basados en agentes».

Parches de software de otros proveedores

Además de Microsoft, otros proveedores también han publicado actualizaciones de seguridad durante las últimas semanas para corregir múltiples vulnerabilidades, que incluyen:

¿Te ha parecido interesante este artículo? Síguenos en Noticias de Google , Twitter y LinkedIn para leer más contenido exclusivo que publicamos.