Microsoft parchó 66 vulnerabilidades, pero una de ellas ya ha dejado entrar a hackers. ¿Adivina cuál?

La actualización de seguridad de junio de Microsoft, lanzada como parte del tradicional Patch Tuesday, incluyó correcciones para 66 vulnerabilidades. De ellas, una ya estaba siendo explotada activamente por atacantes y otra fue revelada públicamente antes del lanzamiento del parche oficial. Además, diez vulnerabilidades fueron clasificadas como críticas: ocho permiten la ejecución remota de código y dos están relacionadas con la elevación de privilegios.

La distribución detallada de las vulnerabilidades por tipo es la siguiente: 13 relacionadas con la elevación de privilegios, 3 con elusión de funciones de seguridad, 25 con ejecución remota de código, 17 con divulgación de información, 6 con denegación de servicio y 2 con suplantación de identidad (spoofing). Esta lista no incluye las vulnerabilidades corregidas anteriormente este mes en los productos Mariner, Microsoft Edge y Power Automate.

Uno de los problemas más peligrosos corregidos este mes fue la vulnerabilidad CVE-2025-33053 en el componente Web Distributed Authoring and Versioning (WEBDAV) de Windows. Esta permitía a un atacante remoto ejecutar código arbitrario en el sistema objetivo si el usuario accedía a un enlace WebDAV especialmente diseñado.

La vulnerabilidad fue descubierta por el equipo de Check Point Research, que informó que el ataque se realizaba manipulando el directorio de trabajo de una herramienta integrada en Windows. En marzo de 2025, esta falla fue utilizada en un intento de ciberataque contra una empresa de defensa en Turquía, supuestamente por el grupo APT Stealth Falcon. Microsoft asignó oficialmente a la vulnerabilidad el identificador CVE-2025-33053 e incluyó la corrección en la actualización del 10 de junio de 2025. Los descubridores son Alexandra Hofmann y David Driker de Check Point Research.

La segunda vulnerabilidad, CVE-2025-33073, afecta al cliente SMB en Windows y fue divulgada públicamente antes del lanzamiento del parche. Permite a un atacante autorizado obtener privilegios de SYSTEM mediante interacción en red. El problema radica en una implementación incorrecta del control de acceso en el protocolo SMB, lo que permite forzar a una máquina vulnerable a conectarse a un servidor del atacante y autenticarse.

Microsoft no ha revelado quién publicó los detalles de esta vulnerabilidad, sin embargo, según una publicación de Born City, DFN-CERT difundió una advertencia de la empresa RedTeam Pentesting unos días antes del lanzamiento del parche. Una medida temporal de mitigación podría ser la activación forzada de la firma SMB en el servidor mediante una política de grupo. En el descubrimiento participaron varios especialistas, incluidos Keisuke Hirata de CrowdStrike, los equipos de Synacktiv y RedTeam Pentesting GmbH, Stefan Walter de SySS GmbH y James Forshaw de Google Project Zero.

Además de las actualizaciones de Microsoft, otros grandes desarrolladores también publicaron boletines en junio. Por ejemplo, Adobe corrigió vulnerabilidades en sus productos InCopy, Experience Manager, Commerce, InDesign, Substance 3D Sampler, Acrobat Reader y Substance 3D Painter.

Google, en su paquete de seguridad de junio para Android, solucionó varias vulnerabilidades, incluida una vulnerabilidad de día cero activamente explotada en el navegador Chrome. Hewlett Packard Enterprise lanzó actualizaciones de seguridad para ocho vulnerabilidades en su solución StoreOnce, mientras que Ivanti corrigió tres fallas con claves incrustadas en el producto Workspace Control (IWC).

Especial mención merece el informe de Qualcomm, que informa de la corrección de tres vulnerabilidades de día cero en el controlador de GPU Adreno, utilizadas en ataques dirigidos. También se lanzó una corrección para una vulnerabilidad crítica en el cliente de correo Roundcube, que permite la ejecución remota de código y ya está siendo explotada activamente. SAP actualizó numerosos productos, incluyendo la corrección de un grave problema de falta de verificación de autorización en SAP NetWeaver Application Server for ABAP.

Las actualizaciones de junio reflejan una alta actividad de amenazas cibernéticas y la necesidad de aplicar rápidamente los parches para proteger los sistemas, especialmente ante la explotación activa de varias vulnerabilidades de día cero.