De estas vulnerabilidades, 6 tienen una calificación crítica, 50 son importantes y 1 es de baja gravedad. Además, 23 fallas permiten ejecución remota de código y 22 están relacionadas con escalamiento de privilegios.
Estos parches se suman a otras 17 vulnerabilidades corregidas en el navegador Edge basado en Chromium desde la última actualización de Patch Tuesday, una de las cuales es una falla de suplantación de identidad específica del navegador (CVE-2025-26643, CVSS: 5.4).
Las seis vulnerabilidades que han sido activamente explotadas son:
•CVE-2025-24983 (CVSS: 7.0) – Vulnerabilidad de uso después de liberar (UAF) en el subsistema de kernel Win32 de Windows, que permite a un atacante autorizado elevar privilegios localmente.
•CVE-2025-24984 (CVSS: 4.6) – Vulnerabilidad de divulgación de información en NTFS, que permite a un atacante con acceso físico y un USB malicioso leer partes de la memoria del sistema.
•CVE-2025-24985 (CVSS: 7.8) – Desbordamiento de enteros en el controlador del sistema de archivos Fast FAT de Windows, permitiendo a un atacante no autorizado ejecutar código localmente.
•CVE-2025-24991 (CVSS: 5.5) – Lectura fuera de límites en NTFS, permitiendo a un atacante autorizado divulgar información localmente.
•CVE-2025-24993 (CVSS: 7.8) – Desbordamiento de búfer basado en heap en NTFS, que permite a un atacante no autorizado ejecutar código localmente.
•CVE-2025-26633 (CVSS: 7.0) – Vulnerabilidad de neutralización incorrecta en Microsoft Management Console (MMC), permitiendo a un atacante no autorizado evadir una función de seguridad localmente.
ESET, que descubrió y reportó CVE-2025-24983, señaló que identificó el exploit Zero-Day en marzo de 2023, entregado a través de un backdoor llamado PipeMagic en sistemas comprometidos.
PipeMagic, detectado por primera vez en 2022, es un troyano basado en plugins que ha atacado entidades en Asia y Arabia Saudita. A finales de 2024, se distribuyó disfrazado de una aplicación falsa de ChatGPT de OpenAI.
•La firma de ciberseguridad Kaspersky reveló que PipeMagic usa un mecanismo único para recibir cargas útiles codificadas a través de named pipes.
•CVE-2025-26633 se relaciona con la manipulación de archivos MSC, permitiendo evadir protecciones de reputación de archivos y ejecutar código en el contexto del usuario actual.
•Investigadores de Action1 advierten que los atacantes podrían encadenar cuatro de las vulnerabilidades de NTFS y FAT para lograr ejecución de código y divulgación de información.
Dada la criticidad de estas vulnerabilidades, la CISA (Agencia de Seguridad Cibernética e Infraestructura de EE.UU.) ha agregado estas fallas a su catálogo de Vulnerabilidades Explotadas Conocidas (KEV), requiriendo que las agencias federales apliquen los parches antes del 1 de abril de 2025.
Además de Microsoft, otras empresas han lanzado parches recientes para corregir vulnerabilidades, entre ellas:
Adobe, AWS, AMD, Apple, Atlassian, Broadcom (incluyendo VMware), Canon, Cisco, Citrix, D-Link, Dell, Drupal, F5, Fortinet, GitLab, Google (Android, Pixel, Chrome, Cloud, Wear OS), HP, IBM, Ivanti, Jenkins, Lenovo, LibreOffice, MediaTek, Mozilla (Firefox, Thunderbird), NVIDIA, QNAP, Qualcomm, Samsung, SAP, Schneider Electric, Siemens, Synology, Veritas, Zimbra, Zoho ManageEngine, Zoom, Zyxel, entre otras.
Se recomienda aplicar las actualizaciones de inmediato para mitigar riesgos de explotación.
On Tuesday, Microsoft released security updates addressing 57 vulnerabilities in its software, including six Zero-Day flaws that have been actively exploited.
Of these vulnerabilities, 6 are rated Critical, 50 are Important, and 1 is Low in severity. Additionally, 23 flaws allow remote code execution, and 22 are related to privilege escalation.
These patches are in addition to 17 vulnerabilities fixed in the Chromium-based Edge browser since last month’s Patch Tuesday update, one of which is a spoofing flaw specific to the browser (CVE-2025-26643, CVSS score: 5.4).
The six actively exploited vulnerabilities are:
(Same list as in Spanish, translated accordingly)
Given the critical nature of these flaws, the U.S. Cybersecurity and Infrastructure Security Agency (CISA) has added them to its Known Exploited Vulnerabilities (KEV) catalog, requiring federal agencies to apply the fixes by April 1, 2025.
Security Updates from Other Vendors
In addition to Microsoft, other companies have also released security patches, including:
Adobe, AWS, AMD, Apple, Atlassian, Broadcom (incluyendo VMware), Canon, Cisco, Citrix, D-Link, Dell, Drupal, F5, Fortinet, GitLab, Google (Android, Pixel, Chrome, Cloud, Wear OS), HP, IBM, Ivanti, Jenkins, Lenovo, LibreOffice, MediaTek, Mozilla (Firefox, Thunderbird), NVIDIA, QNAP, Qualcomm, Samsung, SAP, Schneider Electric, Siemens, Synology, Veritas, Zimbra, Zoho ManageEngine, Zoom, Zyxel, entre otras.
Applying updates immediately is strongly recommended to mitigate exploitation risks.
El pentesting o Test de penetración, en español) es una técnica de ciberseguridad que consistente en atacar entornos informáticos con la intención de descubrir vulnerabilidades en los mismos, con el objetivo de reunir la información necesaria para poder prevenir en el futuro ataques externos hacia esos mismos …
El Servicio de Seguridad en Ciclo de Desarrollo es un enfoque integral que garantiza la protección de los proyectos de software desde su fase inicial de diseño hasta su implementación final. Esto implica integrar medidas de seguridad en cada etapa del proceso de desarrollo, desde la planificación hasta la entrega del producto. La importancia de este servicio radica en varios aspectos:
En resumen, el Servicio de Seguridad en Ciclo de Desarrollo es esencial para garantizar que los productos de software sean seguros, confiables y cumplan con los estándares de seguridad y privacidad, lo que resulta en beneficios tanto para la empresa como para sus clientes.
El Phishing Ético es una servicio que consiste en realizar actividades de Ingeniería Social con propósitos legítimos y éticos, generalmente como parte de una Campaña de Concientización, Evaluación de Seguridad, Prueba de un Pentesting o Red Team.
Para más información ingresa aquí: https://www.xpoint.cl/phishing-etico/
Un Red Team en ciberseguridad es un grupo de profesionales que simulan ser adversarios externos para evaluar la seguridad de un sistema o red. Utilizan tácticas similares a las de ciberdelincuentes reales, llevan a cabo pruebas de penetración, analizan riesgos y proporcionan recomendaciones para mejorar la seguridad. Su enfoque proactivo ayuda a las organizaciones a identificar y abordar vulnerabilidades, fortaleciendo así sus defensas contra amenazas potenciales.
La gestión de vulnerabilidades es un proceso integral que se centra en identificar, evaluar y abordar las debilidades en la seguridad de un sistema o red. Este proceso sigue varios pasos clave:
La gestión de vulnerabilidades es esencial para mantener la seguridad de la información en un entorno digital en constante cambio, minimizando el riesgo de explotación y fortaleciendo las defensas contra posibles amenazas.
