Microsoft publicó su actualización de seguridad de noviembre 2025, corrigiendo un total de 63 vulnerabilidades que afectan a múltiples productos de su ecosistema. Entre ellas se incluye un Zero-Day que ya estaba siendo explotado activamente, además de cuatro fallas críticas que elevan considerablemente el riesgo para las organizaciones.
Este mes también marca el lanzamiento del primer paquete Extended Security Update (ESU) para Windows 10, que ya no cuenta con soporte oficial. Las organizaciones que aún dependan de este sistema operativo deben considerar seriamente una actualización a Windows 11 o integrarse al programa ESU para mantener la continuidad de los parches de seguridad.
Las vulnerabilidades más frecuentes siguen siendo las de elevación de privilegios (EoP), seguidas por ejecución remota de código (RCE) y divulgación de información.
CVE-2025-62215 — Zero-Day en Windows Kernel (EoP)
Una vulnerabilidad en el kernel de Windows permite a atacantes con acceso local autenticado obtener privilegios SYSTEM mediante una condición de carrera. Microsoft confirmó que esta falla fue explotada activamente antes del parche.
CVE-2025-62199 — Vulnerabilidad crítica en Microsoft Office (RCE)
Un fallo de tipo use-after-free que permite ejecución remota de código al abrir o previsualizar un archivo malicioso.
CVE-2025-30398 — Fuga de información en Nuance PowerScribe 360
Un atacante no autenticado puede acceder a datos sensibles a través de una API sin los controles de autorización adecuados.
CVE-2025-62214 — Ejecución de comandos en Visual Studio (RCE)
Una vulnerabilidad de inyección de comandos en las capacidades del agente de IA de Visual Studio que puede ser explotada mediante entradas manipuladas durante el proceso de build.
CVE-2025-60716 — Escalamiento de privilegios en DirectX Graphics Kernel (EoP)
Una vulnerabilidad use-after-free en el subsistema gráfico que permite a atacantes locales elevar privilegios a nivel SYSTEM.
Más de 40 componentes y servicios fueron incluidos en la actualización, entre ellos:
Microsoft Office (Word, Excel, SharePoint), Windows Kernel, DirectX, Visual Studio / VS Code, Dynamics 365, Azure Monitor Agent, SQL Server, Hyper-V, Windows Subsystem for Linux, Bluetooth RFCOM, OneDrive para Android y múltiples controladores del sistema.
Microsoft ya publicó los parches correspondientes y recomienda actualizar lo antes posible para reducir el riesgo de explotación real.
Microsoft has released its November 2025 Patch Tuesday update, addressing a total of 63 security vulnerabilities across its product ecosystem. This month’s batch includes one Zero-Day that was already being exploited in the wild, along with four Critical vulnerabilities that significantly raise the risk level for organizations.
This release also marks the first Extended Security Update (ESU) package for Windows 10, now officially out of mainstream support. Organizations still running Windows 10 should strongly consider upgrading to Windows 11 or enrolling in the ESU program to maintain ongoing security coverage.
Elevation of Privilege (EoP) issues once again make up the majority of patched vulnerabilities, followed by Remote Code Execution (RCE) and information disclosure flaws.
CVE-2025-62215 — Windows Kernel Zero-Day (EoP)
A race condition in the Windows Kernel allows authenticated local attackers to escalate privileges to SYSTEM. Microsoft confirmed active exploitation prior to the release of the patch.
CVE-2025-62199 — Microsoft Office RCE
A use-after-free bug that enables remote code execution when a crafted malicious file is opened or previewed.
CVE-2025-30398 — Nuance PowerScribe 360 Information Disclosure
An unauthenticated attacker can obtain sensitive information through an API endpoint lacking proper authorization checks.
CVE-2025-62214 — Visual Studio RCE
A command-injection vulnerability in Visual Studio’s AI/agent features, exploitable via manipulated prompts submitted during a build process.
CVE-2025-60716 — DirectX Graphics Kernel Elevation of Privilege
A use-after-free vulnerability within DirectX’s graphics subsystem that allows local attackers to escalate to SYSTEM privileges.
More than 40 Microsoft components and services were impacted, including:
Microsoft Office (Word, Excel, SharePoint), Windows Kernel, DirectX, Visual Studio / VS Code, Dynamics 365, Azure Monitor Agent, SQL Server, Hyper-V, Windows Subsystem for Linux, Bluetooth RFCOM, OneDrive for Android, and several core Windows drivers.
Microsoft recommends applying these updates immediately to reduce exposure to real-world attacks.
El pentesting o Test de penetración, en español) es una técnica de ciberseguridad que consistente en atacar entornos informáticos con la intención de descubrir vulnerabilidades en los mismos, con el objetivo de reunir la información necesaria para poder prevenir en el futuro ataques externos hacia esos mismos …
El Servicio de Seguridad en Ciclo de Desarrollo es un enfoque integral que garantiza la protección de los proyectos de software desde su fase inicial de diseño hasta su implementación final. Esto implica integrar medidas de seguridad en cada etapa del proceso de desarrollo, desde la planificación hasta la entrega del producto. La importancia de este servicio radica en varios aspectos:
En resumen, el Servicio de Seguridad en Ciclo de Desarrollo es esencial para garantizar que los productos de software sean seguros, confiables y cumplan con los estándares de seguridad y privacidad, lo que resulta en beneficios tanto para la empresa como para sus clientes.
El Phishing Ético es una servicio que consiste en realizar actividades de Ingeniería Social con propósitos legítimos y éticos, generalmente como parte de una Campaña de Concientización, Evaluación de Seguridad, Prueba de un Pentesting o Red Team.
Para más información ingresa aquí: https://www.xpoint.cl/phishing-etico/
Un Red Team en ciberseguridad es un grupo de profesionales que simulan ser adversarios externos para evaluar la seguridad de un sistema o red. Utilizan tácticas similares a las de ciberdelincuentes reales, llevan a cabo pruebas de penetración, analizan riesgos y proporcionan recomendaciones para mejorar la seguridad. Su enfoque proactivo ayuda a las organizaciones a identificar y abordar vulnerabilidades, fortaleciendo así sus defensas contra amenazas potenciales.
La gestión de vulnerabilidades es un proceso integral que se centra en identificar, evaluar y abordar las debilidades en la seguridad de un sistema o red. Este proceso sigue varios pasos clave:
La gestión de vulnerabilidades es esencial para mantener la seguridad de la información en un entorno digital en constante cambio, minimizando el riesgo de explotación y fortaleciendo las defensas contra posibles amenazas.
