Microsoft ha liberado un parche de seguridad masivo que aborda 183 vulnerabilidades, de las cuales dos son zero-days de Windows que están siendo explotados activamente. Estas vulnerabilidades, CVE-2025-24990 y CVE-2025-59230, permiten la escalada de privilegios locales (LPE), un paso fundamental en la cadena de ataque de actores de ransomware y grupos APT. Una de estas vulnerabilidades afecta a un driver heredado presente en todas las versiones de Windows, subrayando el riesgo latente en componentes obsoletos. Adicionalmente, se han reportado fallos críticos que permiten ejecución remota de código (RCE) y escape de máquinas virtuales (VM Escape). Se requiere acción inmediata para la mitigación.

Vulnerabilidades Críticas en Explotación Activa (Zero-Days)

El punto de mayor urgencia son las dos vulnerabilidades de Windows ya catalogadas por CISA en su listado KEV (Known Exploited Vulnerabilities), lo que confirma su uso en ataques reales.

  1. CVE-2025-24990 (CVSS: 7.8) – Escalada de Privilegios en el Driver de Módem Agere (ltmdm64.sys)
    • Impacto Técnico: Permite a un atacante con acceso local de bajos privilegios ejecutar código con permisos de SYSTEM.
    • Análisis del Riesgo: Esta es la vulnerabilidad más preocupante. El driver ltmdm64.sys es un componente heredado (legacy) que se incluye por defecto en absolutamente todas las versiones de Windows, desde las más antiguas hasta Windows Server 2025, independientemente de si el hardware correspondiente está presente. Esto convierte a casi cualquier sistema Windows en un objetivo viable. Microsoft ha optado por eliminar el driver por completo en lugar de parchearlo, lo que evidencia la problemática de mantener código de terceros obsoleto.
    • Relevancia para la Infraestructura: Este es un ejemplo claro de cómo la “deuda técnica” en forma de componentes antiguos crea una superficie de ataque persistente. Para los grupos de ransomware y APT, una vulnerabilidad LPE tan universal es un recurso de altísimo valor para tomar control total de un equipo una vez que han logrado un acceso inicial (ej. vía phishing).
  2. CVE-2025-59230 (CVSS: 7.8) – Escalada de Privilegios en Remote Access Connection Manager (RasMan)
    • Impacto Técnico: Similar a la anterior, permite a un atacante local elevar sus privilegios a nivel de sistema.
    • Análisis del Riesgo: Aunque el componente RasMan es más moderno, esta es la primera vez que una de sus vulnerabilidades es explotada como zero-day. Es un objetivo lógico para los atacantes que buscan moverse lateralmente dentro de una red corporativa, especialmente en entornos que dependen de conexiones remotas.
Otras Vulnerabilidades de Alto Impacto a Considerar

Más allá de los zero-days, este ciclo de parches incluye otras vulnerabilidades que no deben ser ignoradas, especialmente en entornos de servidor y virtualización.

  • CVE-2025-49708 (CVSS: 9.9) – Escalada de Privilegios en Microsoft Graphics Component (VM Escape)
    • Análisis: Esta es una vulnerabilidad de impacto catastrófico en entornos virtualizados. Permite a un atacante con acceso de bajos privilegios dentro de una máquina virtual (Guest) “escapar” y ejecutar código con privilegios de SYSTEM directamente en el servidor anfitrión (Host). Esto rompe el aislamiento, el pilar fundamental de la virtualización. Un solo sistema comprometido podría llevar al control total de todas las VMs en el mismo host, incluyendo controladores de dominio, bases de datos y servidores de producción.
  • CVE-2025-59287 (CVSS: 9.8) – RCE en Windows Server Update Service (WSUS)
    • Análisis: Una vulnerabilidad crítica en la herramienta diseñada para distribuir parches. Un atacante que explote este fallo podría comprometer el servidor WSUS y, potencialmente, usarlo para distribuir malware a todos los equipos de la red en lugar de actualizaciones legítimas. Un ataque de este tipo a la cadena de suministro interna sería devastador.
  • CVE-2025-55315 (CVSS: 9.9) – Security Feature Bypass en ASP.NET
    • Análisis: Permite a un atacante autenticado “contrabandear” una segunda solicitud HTTP maliciosa dentro de una legítima, eludiendo controles de seguridad. Esto es particularmente peligroso para aplicaciones web complejas, donde la validación de la autenticación podría ser burlada para acceder a funciones o datos no autorizados.
Contexto Operacional y Consecuencias Reales

Estas vulnerabilidades no son teóricas. La explotación activa de las LPE confirma que los atacantes ya las están integrando en sus operaciones.

  • Para Operadores de Ransomware: Una LPE confiable como CVE-2025-24990 es oro. Les permite automatizar el proceso de escalada tras un phishing exitoso, desactivar soluciones de seguridad (EDR, antivirus) que requieren privilegios elevados y ejecutar el cifrador con permisos de SYSTEM para asegurar el máximo daño.
  • Para Grupos APT: Los actores estado-nación utilizan estas vulnerabilidades para establecer persistencia silenciosa. Una vez obtienen privilegios de SYSTEM, pueden instalar rootkits a nivel de kernel, manipular logs y moverse lateralmente por la red durante meses sin ser detectados, exfiltrando datos críticos. La vulnerabilidad de Secure Boot Bypass en IGEL OS (CVE-2025-47827), también explotada activamente, es un claro ejemplo de las herramientas que estos grupos buscan para comprometer el arranque del sistema.

La presencia de una vulnerabilidad universal en un driver de módem de fax olvidado es el recordatorio perfecto de que la superficie de ataque de una organización es tan fuerte como su componente más débil y antiguo.

Recomendaciones y Plan de Acción Inmediato

Se recomienda un enfoque por fases y roles para una mitigación efectiva.

1. Para Administradores de Sistemas e Infraestructura:

  • Prioridad 1 – Parcheo Inmediato: Desplegar las actualizaciones de seguridad de Microsoft de octubre de 2025 con carácter de emergencia. Priorizar los sistemas expuestos a internet y los servidores críticos.
  • Verificar el Catálogo CISA KEV: Utilizar el listado de CISA como guía para priorizar los parches de CVE-2025-24990, CVE-2025-59230 y CVE-2025-47827.
  • Atención a WSUS: Parchear los servidores WSUS (CVE-2025-59287) antes de usarlos para distribuir el resto de las actualizaciones para evitar un posible secuestro de la plataforma.
  • Validar la Remoción del Driver: Tras el parcheo, verificar que el driver ltmdm64.sys ha sido efectivamente eliminado de los sistemas.

2. Para Equipos de Seguridad (SOC, Blue Team, Threat Hunters):

  • Threat Hunting Proactivo: Buscar indicadores de compromiso (IOCs) asociados a la explotación de estas LPE. Revisar logs de seguridad en busca de creaciones de procesos anómalos por parte de cuentas de usuario estándar o servicios que no deberían tener tales privilegios.
  • Revisar la Segmentación: El riesgo de VM Escape (CVE-2025-49708) refuerza la necesidad crítica de una segmentación de red robusta. Asegurarse de que los hosts de virtualización críticos no sean accesibles desde segmentos de red de menor confianza.
  • Auditoría de Componentes Heredados: Iniciar un proyecto para identificar y, si es posible, eliminar o aislar software y drivers obsoletos en los sistemas operativos base de la organización.

3. Para CISOs y Gerencia de TI:

  • Comunicar el Riesgo: Informar a la dirección sobre el estado de explotación activa de estas vulnerabilidades y el impacto potencial en la continuidad del negocio.
  • Revisar la Gestión de la Deuda Técnica: Utilizar este incidente como un caso de estudio para justificar la inversión en la modernización de infraestructuras y la eliminación de sistemas y software obsoletos que representan un riesgo inaceptable.

Fuente: thehackernews[.]com

You May Also Like

Análisis de vulnerabilidades de software revela riesgos permanentes en 2023

wpadmin001

¡Alerta Roja! Desenmascarando los ataques de Phishing de la Cruz Roja con Puertas Traseras de DangerAds y AtlasAgen

HKN FEED

Google Chrome Beta prueba la nueva protección DBSC contra ataques de robo de cookies

HKN FEED