El martes, el mayor parche del año ve a MS abordar 159 vulnerabilidades
5 min read
Microsoft lanzó 2025 el segundo martes de enero, una gran caída Martes de parches Actualización con correcciones para 159 vulnerabilidades, que aumentan a 161 al incluir dos vulnerabilidades adicionales a través de CERT CC y GitHub.
Según Dustin Childs Iniciativa de día ceroEsta puede ser la mayor cantidad de CVE abordadas en un solo mes desde 2017; de hecho, es más de tres veces la cantidad fijada (49) en esta época del año pasado, y sigue a otra actualización inusualmente intensa en diciembre.
“(Esto) podría ser una señal siniestra para los niveles de parche en 2025”, escribió Childs en su escrito. Blogs de resumen periódico. “Será interesante ver cómo se desarrolla este año”.
Tyler Reguli, Fortra director asociado de investigación y desarrollo de seguridad, estuvo de acuerdo: “Este es definitivamente uno de esos meses en los que los administradores necesitan dar un paso atrás, respirar profundamente y determinar su plan de ataque.
“Si bien una gran cantidad de estas vulnerabilidades se abordarán mediante actualizaciones incrementales de Windows, existe una gran cantidad de otro software que incluye varios productos de Office (Word, Excel, Access, Outlook, Visio y SharePoint), así como otros Microsoft .NET. NET Frameworks y productos como Visual Studio.
“Meses como este son un gran (recordatorio) de que los administradores deben confiar en sus proveedores y sus herramientas”, afirmó Reguli. “Reparar 161 vulnerabilidades no puede ser un proceso completamente manual, especialmente porque sabemos que hoy solo se lanzan parches de Microsoft. Adobe, por ejemplo, lanzó actualizaciones para Photoshop, Substance3D Stager, Illustrator para iPad, Animate y Adobe Substance3D Designer.
“Parchear las vulnerabilidades no debería ser un esfuerzo individual en la empresa y, si lo es, puede que sea el momento de hablar con su liderazgo sobre cambios de personal y herramientas”.
día cero
Entre la abundante cosecha de vulnerabilidades se encuentran nada menos que ocho de día cero, tres que se sabe que han sido explotadas en estado salvaje y 11 fallas críticas.
Los días cero de este mes son los siguientes:
- CVE-2025-21333Vulnerabilidad de elevación de privilegios (EoP) en Windows Hyper-V NT Kernel VSP;
- CVE-2025-21334Una segunda vulnerabilidad EoP en el mismo servicio;
- CVE-2025-21335Una tercera vulnerabilidad EOP en el mismo servicio.
Se sabe que estas fallas se explotan en el kernel VSP de Windows Hyper-V NT, pero estas vulnerabilidades aún no se han publicado; para los otros cinco, ocurre lo contrario. Estos son:
Saeed Abbasi, administrador de vulnerabilidades Unidad de investigación de amenazas QualisParchar oportunamente los problemas de Hyper-V es fundamental porque están bajo ataque activo, afirmó.
“Permiten a un usuario autenticado elevar privilegios a SISTEMA y tomar control total del entorno afectado”, dijo Abbasi.
“Por lo general, pasar de invitado a host/hipervisor indica un cambio en el alcance del CVSS (Common Vulnerability Scoring System), pero la versión actual de Microsoft no lo confirma explícitamente, lo que sugiere que se necesitan más detalles; Esto puede poner en peligro no sólo las VM (máquinas virtuales) individuales, sino también toda la infraestructura del host”.
Un actor de amenazas capaz de obtener privilegios a nivel del sistema es una seria preocupación para los defensores, ya que abre la puerta a otras acciones, como deshabilitar las herramientas de seguridad integradas o deshacerse de las credenciales para cambiar de dominio dentro del entorno de destino. Estas tácticas suelen ser utilizadas tanto por bandas de cibercriminales con motivación financiera como por operadores de espionaje apoyados por estados nacionales.
¿Tomas Access o no?
Mientras tanto, Adam Barnett, ingeniero principal de software Rápido 7Normas de Microsoft Access sobre tres cuestiones similares de RCE.
Burnett detalló cómo un exploit exitoso, en caso de que ocurriera, requeriría engañar a un usuario para que descargue y abra un archivo malicioso, lo que llevaría a la ejecución del código a través de un desbordamiento del búfer basado en el montón.
“Curiosamente, en cada caso, parte de las preguntas frecuentes del aviso describe la Protección de actualización como ‘bloquear el envío de extensiones potencialmente maliciosas en un correo electrónico’, pero el resto del aviso no aclara cómo esto evitará la actividad maliciosa”, dijo Barnett.
“Por lo general, los parches protegen bloqueando archivos maliciosos después de recibir un archivo adjunto de correo electrónico malicioso, en lugar de evitar que se envíe un archivo adjunto malicioso en primer lugar, ya que un atacante puede enviar lo que quiera desde cualquier sistema que controle.
“En cualquier caso, las preguntas frecuentes mencionan que los usuarios que de otro modo habrían interactuado con un archivo adjunto malicioso recibirán una notificación de que había un archivo adjunto pero que ‘no se puede acceder a él’, lo cual es quizás el mejor juego de palabras que hemos visto en un tiempo del MSRC”, dijo.
En cuanto a la falla de suplantación de identidad en los temas de Windows, Burnett dijo que muchos administradores y usuarios no creen que la función, que permite a los usuarios personalizar sus escritorios con imágenes de fondo, salvapantallas y más, sea a menudo esencial si aún no se ha pagado. Mucha atención a todos los aspectos del patrimonio de Windows.
“La explotación exitosa conduce a la divulgación inadecuada de un hash NTLM, lo que permite a un atacante hacerse pasar por el usuario de quien lo obtuvo”, dijo.
“El consultor FAQ baila sobre métodos de explotación sin explicación; Lo que aprendemos es que una vez que un atacante de alguna manera entrega un archivo malicioso a un sistema objetivo, un usuario debe manipular el archivo malicioso, pero no necesariamente hacer clic en él o abrirlo.
“Sin más detalles, solo podemos especular, pero es posible que simplemente abrir una carpeta que contenga el archivo en el Explorador de Windows, incluida la carpeta de Descargas, o insertar una unidad USB, sea suficiente para activar la vulnerabilidad y ver silenciosamente la fuga de hash NTLM. . para su recopilación por parte de actores de amenazas”.
