El Patch Tuesday de septiembre 2025 incluyó la corrección de 80 vulnerabilidades en productos Microsoft. De este total, 8 fueron catalogadas como críticas y 72 como importantes. Aunque no se registraron zero-days explotados en entornos reales, se evidencia una constante: la mayoría de fallos están ligados a escalamiento de privilegios, lo que confirma la preferencia de los atacantes por debilidades en autenticación y control de permisos.

Puntos destacados

  • CVE-2025-55234 (CVSS 8.8): vulnerabilidad en Windows SMB que habilita relay attacks cuando no se aplican medidas de hardening como SMB Signing o EPA (Extended Protection for Authentication). El riesgo principal es permitir ataques man-in-the-middle que abran la puerta a post-explotación: robo de credenciales, lateral movement y persistencia dentro del dominio. El parche añade opciones de auditoría preventiva, lo que permite identificar incompatibilidades de clientes antes de forzar configuraciones seguras.
  • CVE-2025-54914 (CVSS 10.0): vulnerabilidad crítica en Azure Networking, capaz de otorgar privilege escalation en entornos cloud. Si bien Microsoft afirma que no requiere acción del cliente, la severidad (máxima puntuación CVSS) subraya la amplitud de la superficie de ataque en servicios cloud.
  • CVE-2025-55232 (CVSS 9.8): fallo de ejecución remota de código (RCE) en Microsoft HPC Pack, explotable mediante paquetes especialmente diseñados.
  • CVE-2025-54918 (CVSS 8.8): error en Windows NTLM que, con hashes o credenciales comprometidas, permite escalar privilegios hasta SYSTEM, consolidando control total del host.
  • CVE-2024-21907 (CVSS 7.5): vulnerabilidad en Newtonsoft.Json, librería usada por SQL Server, que puede provocar denegación de servicio (DoS).
  • BitLocker: se suman dos vulnerabilidades (CVE-2025-54911 y CVE-2025-54912) a las cuatro previamente parchadas en julio. Todas permiten security feature bypass en escenarios con acceso físico.

Recomendaciones técnicas

  • Implementar TPM+PIN como mecanismo de pre-boot authentication, reduciendo la superficie expuesta.
  • Habilitar la mitigación REVISE, que impide downgrade attacks en componentes críticos de arranque.
  • Validar compatibilidad SMB antes de forzar SMB Signing/EPA, minimizando riesgos de interrupción de servicio.

Amenazas emergentes

Se reportó una nueva técnica ofensiva denominada BitLockMove, desarrollada por Fabian Mosch. Esta aprovecha WMI + SMB para modificar remotamente claves de registro de BitLocker y realizar COM hijacking, forzando la carga de DLL maliciosas. El resultado: ejecución bajo el contexto del usuario interactivo, que, si posee privilegios elevados, puede derivar en domain escalation.

Fuente thehackernews[.]com

You May Also Like

El rootkit PoC de io_uring en Linux logra evadir las herramientas de detección de amenazas que se basan en llamadas al sistema.

HKN FEED

Los piratas informáticos explotan el complemento obsoleto de WordPress para la puerta trasera de miles de sitios de WordPress

wpadmin001

La herramienta ‘comando no encontrado’ de Ubuntu podría engañar a los usuarios para que instalen paquetes no autorizados

HKN FEED