Microsoft ha lanzado su actualización de seguridad mensual Patch Tuesday correspondiente a mayo de 2025, con correcciones para 72 vulnerabilidades, entre ellas cinco zero-days activamente explotadas y dos vulnerabilidades públicamente divulgadas. Las actualizaciones cubren una amplia gama de productos, desde el sistema operativo Windows hasta herramientas de desarrollo como Visual Studio, y se suman a los parches ya lanzados previamente para Microsoft Edge, Azure y Dataverse.

En un contexto donde las amenazas de día cero están siendo explotadas activamente en entornos reales, este despliegue adquiere especial relevancia para equipos de TI, administradores de sistemas y expertos en seguridad que buscan mantener sus entornos protegidos ante ataques cada vez más sofisticados.

Cinco zero-days activamente explotadas

Entre los puntos críticos de este mes se encuentran cinco vulnerabilidades zero-day que ya estaban siendo explotadas en la naturaleza antes de que existiera un parche oficial de Microsoft. Todas ellas están relacionadas con elevación de privilegios locales, permitiendo a los atacantes escalar permisos y tomar el control total de los sistemas afectados.

Ad

1. CVE-2025-30400 – Microsoft DWM Core Library

Una vulnerabilidad use-after-free en el subsistema de administración de ventanas que permite escalar privilegios a nivel SYSTEM, la cuenta más privilegiada en Windows.

2. CVE-2025-32701 – Common Log File System Driver

Otro use-after-free que afecta al controlador de registro del sistema. Permite a usuarios autenticados ejecutar código con privilegios elevados.

3. CVE-2025-32706 – Common Log File System Driver (variante)

Se basa en una validación inadecuada de entrada, también explotable localmente para obtener privilegios SYSTEM.

4. CVE-2025-32709 – WinSock Ancillary Function Driver

Afecta a WinSock, el núcleo de conectividad de red de Windows. Permite escalada de privilegios a través de manipulación de memoria.

5. CVE-2025-30397 – Scripting Engine (Edge/IE)

Este fallo en el motor de scripting permite la ejecución remota de código cuando un usuario hace clic en un enlace malicioso en Edge o Internet Explorer. Aunque requiere interacción del usuario, su severidad es alta por el alcance que tiene en la red.

Microsoft ha atribuido la mayoría de estos hallazgos a su propia Microsoft Threat Intelligence Center, en colaboración con expertos de Google y CrowdStrike para ciertos casos.

Vulnerabilidades públicamente divulgadas

Además de los exploits activos, dos vulnerabilidades ya eran públicamente conocidas antes del parche:

  • CVE-2025-26685 (Defender for Identity): Un fallo de suplantación (spoofing) que permite a atacantes dentro de una red local fingir ser otra identidad.

  • CVE-2025-32702 (Visual Studio): Permite ejecución de código a través de comandos inyectados en el entorno de desarrollo de Visual Studio.

Aunque estas no fueron detectadas activamente en campañas de explotación, el hecho de que estuvieran divulgadas aumenta significativamente el riesgo, ya que podrían haber sido aprovechadas por grupos maliciosos antes de su mitigación.

Fallos críticos en componentes estratégicos

Entre las vulnerabilidades de Microsoft clasificadas como críticas, destacan las siguientes:

  • Remote Desktop Gateway (CVE-2025-29967): Una RCE crítica que podría explotarse a través del cliente de Escritorio Remoto.

  • Microsoft Office (CVE-2025-30377, CVE-2025-30386): Fallos que permiten ejecución de código al abrir documentos maliciosos.

  • Azure Automation (CVE-2025-29827): Permite escalada de privilegios dentro de entornos cloud automatizados.

  • Microsoft Power Apps y Dataverse: Con fallos que podrían comprometer datos confidenciales alojados en servicios SaaS.

Otros proveedores también lanzan parches

Este Patch Tuesday no llegó solo. Varias compañías importantes también publicaron parches críticos este mes:

  • Apple: Corrigió vulnerabilidades en iOS, iPadOS y macOS.

  • Cisco: Solucionó una vulnerabilidad de severidad máxima en su software IOS XE.

  • Fortinet: Parcheó un zero-day activamente explotado en FortiVoice.

  • Google: Actualizó Android para corregir una vulnerabilidad de ejecución remota sin clics en FreeType 2.

  • Intel: Publicó microcódigos para mitigar «Branch Privilege Injection», una técnica que filtra datos de memoria privilegiada.

  • SAP y SonicWall: También emitieron actualizaciones importantes para entornos empresariales.

Como siempre, el consejo es actualizar lo antes posible. Las cinco zero-days activamente explotadas representan amenazas reales y tangibles, especialmente en entornos corporativos y gubernamentales donde el acceso a sistemas privilegiados puede tener consecuencias desastrosas.

MLuz Domínguez
MLuz Domínguez
Periodista especializada en ciberseguridad y tecnología. Mi enfoque se centra en analizar mundo de las aplicaciones y la seguridad especialmente en redes sociales. Con un interés constante en informar sobre avances, riesgos y sin olvidar la importancia de la prevención, busco compartir información precisa y comprensible para el usuario.

Artículos relacionadosMás del autor

Deja un comentario

Por favor, introduce tu comentario
Por favor, introduce tu nombre