Microsoft lanzó este martes su actualización mensual de seguridad (Patch Tuesday), corrigiendo 183 fallas en sus productos, incluidas tres vulnerabilidades que ya están siendo explotadas activamente. El anuncio coincide con el fin oficial del soporte para Windows 10, que ahora solo recibirá parches si está inscrito en el programa de Actualizaciones de Seguridad Extendidas (ESU).
De las 183 vulnerabilidades, 17 fueron clasificadas como críticas, 165 como importantes y una como moderada. La mayoría se relaciona con escalamiento de privilegios (84), seguidas de ejecución remota de código (33), filtración de información (28), suplantación (14) y otros tipos de fallas.
Entre ellas destacan dos vulnerabilidades zero-day ya explotadas en entornos reales:
CVE-2025-24990 — Falla de escalamiento de privilegios en el driver del módem Agere (ltmdm64.sys)
CVE-2025-59230 — Falla de escalamiento de privilegios en el servicio Remote Access Connection Manager (RasMan)
Ambas permiten a un atacante ejecutar código con privilegios elevados, aunque Microsoft aún no ha revelado cómo están siendo explotadas. En el caso del driver Agere, la compañía planea eliminarlo completamente, ya que proviene de código heredado incluido en todas las versiones de Windows, incluso Server 2025, y puede ser abusado aun cuando el hardware no esté presente.
“Este controlador vulnerable viene instalado por defecto en todos los sistemas Windows”, explicó Adam Barnett, ingeniero principal de Rapid7. “Incluso si no usas un módem, tu equipo sigue siendo vulnerable, y un atacante local con permisos mínimos podría elevar sus privilegios hasta nivel administrador”.
Por su parte, la vulnerabilidad CVE-2025-59230 marca la primera vez que se explota un fallo en RasMan como día cero. Desde 2022, Microsoft ha corregido más de 20 vulnerabilidades en ese componente.
La tercera falla bajo explotación afecta a IGEL OS, un sistema operativo para escritorios virtuales. Identificada como CVE-2025-47827, permite eludir el arranque seguro (Secure Boot). Aunque requiere acceso físico al dispositivo, podría permitir la instalación de rootkits a nivel del kernel y el robo de credenciales en entornos corporativos.
Todas estas vulnerabilidades ya fueron incorporadas al catálogo de vulnerabilidades explotadas activamente (KEV) de CISA, que exige a las agencias federales aplicar los parches antes del 4 de noviembre de 2025.
CVE-2025-59287 (CVSS 9.8) – Ejecución remota de código en Windows Server Update Service (WSUS)
CVE-2025-49708 (CVSS 9.9) – Escalamiento de privilegios en Microsoft Graphics Component, que podría permitir escapar de una máquina virtual y ejecutar código en el host
CVE-2025-55315 (CVSS 9.9) – Omisión de controles de seguridad en ASP.NET, aprovechando solicitudes HTTP encubiertas
CVE-2025-59295 (CVSS 8.8) – Vulnerabilidad de URL Parsing, que podría permitir ejecución de código a través de una URL maliciosa
“Un atacante que logre explotar estas fallas podría ejecutar código arbitrario con privilegios de sistema, afectando incluso a controladores de dominio o bases de datos críticas”, advirtió Ben McCarthy, ingeniero principal de Immersive Labs.
Microsoft no fue el único en publicar parches esta semana. Más de 40 proveedores, entre ellos Apple, Cisco, Fortinet, VMware, HP, SAP, NVIDIA, Palo Alto Networks y Red Hat, también lanzaron actualizaciones para resolver vulnerabilidades en sus plataformas.
Microsoft’s latest Patch Tuesday brings fixes for 183 security flaws across its products — including three zero-days already being exploited — as the company officially ends support for Windows 10, unless enrolled in the Extended Security Updates (ESU) program.
Among the vulnerabilities, 17 are critical, 165 important, and one moderate. The majority involve privilege escalation (84), followed by remote code execution (33), information disclosure (28), and others.
Two actively exploited Windows zero-days stand out:
CVE-2025-24990 — Privilege escalation flaw in the legacy Agere Modem Driver (ltmdm64.sys)
CVE-2025-59230 — Privilege escalation in Remote Access Connection Manager (RasMan)
Both allow attackers to gain elevated privileges, though Microsoft has not disclosed specific attack details. For the Agere driver, Microsoft plans to remove it entirely rather than patch it — as the vulnerable component ships with every Windows version ever released, even when the modem hardware isn’t installed.
“This driver comes preloaded in all Windows systems,” said Adam Barnett, lead software engineer at Rapid7. “Even if you don’t use a modem, your system is still vulnerable — a local attacker could easily escalate to admin privileges.”
Meanwhile, CVE-2025-59230 marks the first zero-day ever found in RasMan. Microsoft has patched over 20 flaws in that component since 2022.
A third exploited bug, CVE-2025-47827, affects IGEL OS and allows Secure Boot bypass. While physical access is required, it could enable attackers to install kernel-level rootkits and compromise virtual desktops, posing risks to enterprises.
All three have been added to CISA’s Known Exploited Vulnerabilities (KEV) list, with federal agencies required to patch by November 4, 2025.
CVE-2025-59287 (CVSS 9.8) – Remote code execution in Windows Server Update Service (WSUS)
CVE-2025-49708 (CVSS 9.9) – Privilege escalation in Microsoft Graphics Component, leading to full VM escape
CVE-2025-55315 (CVSS 9.9) – Security feature bypass in ASP.NET via hidden HTTP request chaining
CVE-2025-59295 (CVSS 8.8) – URL parsing flaw allowing arbitrary code execution through malicious links
“A successful exploit could allow code execution with SYSTEM privileges, potentially compromising domain controllers or production servers,” warned Ben McCarthy, lead cybersecurity engineer at Immersive.
Beyond Microsoft, over 40 major vendors — including Apple, Cisco, Fortinet, VMware, SAP, NVIDIA, and Red Hat — released patches this week addressing dozens of critical vulnerabilities.
El pentesting o Test de penetración, en español) es una técnica de ciberseguridad que consistente en atacar entornos informáticos con la intención de descubrir vulnerabilidades en los mismos, con el objetivo de reunir la información necesaria para poder prevenir en el futuro ataques externos hacia esos mismos …
El Servicio de Seguridad en Ciclo de Desarrollo es un enfoque integral que garantiza la protección de los proyectos de software desde su fase inicial de diseño hasta su implementación final. Esto implica integrar medidas de seguridad en cada etapa del proceso de desarrollo, desde la planificación hasta la entrega del producto. La importancia de este servicio radica en varios aspectos:
En resumen, el Servicio de Seguridad en Ciclo de Desarrollo es esencial para garantizar que los productos de software sean seguros, confiables y cumplan con los estándares de seguridad y privacidad, lo que resulta en beneficios tanto para la empresa como para sus clientes.
El Phishing Ético es una servicio que consiste en realizar actividades de Ingeniería Social con propósitos legítimos y éticos, generalmente como parte de una Campaña de Concientización, Evaluación de Seguridad, Prueba de un Pentesting o Red Team.
Para más información ingresa aquí: https://www.xpoint.cl/phishing-etico/
Un Red Team en ciberseguridad es un grupo de profesionales que simulan ser adversarios externos para evaluar la seguridad de un sistema o red. Utilizan tácticas similares a las de ciberdelincuentes reales, llevan a cabo pruebas de penetración, analizan riesgos y proporcionan recomendaciones para mejorar la seguridad. Su enfoque proactivo ayuda a las organizaciones a identificar y abordar vulnerabilidades, fortaleciendo así sus defensas contra amenazas potenciales.
La gestión de vulnerabilidades es un proceso integral que se centra en identificar, evaluar y abordar las debilidades en la seguridad de un sistema o red. Este proceso sigue varios pasos clave:
La gestión de vulnerabilidades es esencial para mantener la seguridad de la información en un entorno digital en constante cambio, minimizando el riesgo de explotación y fortaleciendo las defensas contra posibles amenazas.
