Patch Tuesday de septiembre: 81 razones para actualizar de inmediato; dos de ellas ya se están explotando en ataques

En el Patch Tuesday de septiembre, Microsoft publicó un extenso paquete de actualizaciones, corrigiendo 81 vulnerabilidades en sus productos y servicios. Entre ellas, 9 críticas, 2 de las cuales ya se habían divulgado como zero-day. Precisamente estas llamaron más la atención de los especialistas en seguridad, ya que se explotaron o se describieron detalladamente antes de la publicación de los parches.

La primera vulnerabilidad, identificada como CVE-2025-55234, afecta al servidor SMB. Ella permite a atacantes realizar ataques de relay (Relay Attack) y obtener elevación de privilegios. Microsoft señala que el sistema ya cuenta con mecanismos de protección: SMB Server Signing y Extended Protection for Authentication; sin embargo, activarlos puede causar problemas de compatibilidad con equipos antiguos. Por ello, los administradores deben habilitar la auditoría y revisar cuidadosamente las configuraciones antes de aplicar políticas estrictas.

El segundo problema — CVE-2024-21907 — está relacionado con la biblioteca Newtonsoft.Json, usada en SQL Server. Al procesar datos especialmente diseñados mediante el método JsonConvert.DeserializeObject se produce un desbordamiento de pila, lo que puede provocar una denegación de servicio. El fallo se divulgó ya en 2024, pero solo ahora se incluye en el paquete oficial de correcciones de Microsoft.

Además de estos dos, en la entrega de septiembre se solucionaron decenas de otros fallos críticos e importantes. En Microsoft Office se corrigieron numerosas vulnerabilidades en Excel, PowerPoint, Visio y SharePoint que permitían la ejecución de código arbitrario al abrir documentos maliciosos. En Windows se cerraron fallos en el componente gráfico, en el subsistema Hyper-V y en NTLM; este último representaba un peligro particular, ya que podía utilizarse para comprometer credenciales en la infraestructura de dominio. También se corrigieron errores en BitLocker y LSASS que permitían la elevación de privilegios, así como fallos en los servicios Defender Firewall, Bluetooth y Connected Devices.

Entre otras cosas, cabe destacar una vulnerabilidad en Windows NTFS en la que un ataque podía conducir a la ejecución remota de código, así como fallos críticos en controladores de DirectX y en componentes Win32K. Estos errores permiten potencialmente eludir mecanismos de protección del núcleo y ejecutar instrucciones maliciosas a nivel del sistema.

Microsoft subraya además que en este ciclo de actualizaciones se amplió la funcionalidad de auditoría para clientes SMB. Esto es necesario para que los administradores puedan evaluar con anticipación la compatibilidad al migrar a las nuevas políticas de seguridad, que en el futuro serán obligatorias.

Los especialistas de BleepingComputer prepararon la descripción completa de cada vulnerabilidad y de los sistemas afectados en esta página.

No solo Microsoft en septiembre solucionó fallos críticos. Adobe cerró la vulnerabilidad SessionReaper en Magento, que permitía secuestrar sesiones de usuario. Google publicó el parche de septiembre para Android, que solucionó 84 errores, incluidas dos vulnerabilidades explotadas activamente en ataques reales. SAP corrigió una vulnerabilidad de máxima gravedad en NetWeaver que permitía ejecutar comandos con privilegios del sistema. Sitecore confirmó la existencia de una zero-day empleada activamente por atacantes y publicó actualizaciones para proteger a sus clientes. TP-Link reconoció una vulnerabilidad en varios routers domésticos, que por ahora está en fase de investigación, pero la compañía ya prepara parches para usuarios estadounidenses. Cisco actualizó WebEx, ASA y otros productos de red, solucionando riesgos de acceso remoto y fugas de información.

El Patch Tuesday de septiembre fue uno de los más intensos del año. Las dos zero-days divulgadas públicamente en SMB y SQL Server subrayan la necesidad de instalar las actualizaciones con la mayor rapidez posible, y la extensa lista de vulnerabilidades en Windows y Office demuestra que los atacantes pueden emplear una gran variedad de vectores para comprometer la infraestructura corporativa. Los administradores y los especialistas en seguridad deben comprobar de inmediato la vigencia de los parches instalados y prestar atención a las auditorías de los sistemas para reducir el riesgo de explotación de fallos críticos en condiciones reales.