Tres vulnerabilidades 0-day y 57 fallos: Microsoft publica el Patch Tuesday de diciembre

Microsoft publicó las actualizaciones de seguridad de diciembre: en el Patch Tuesday se corrigieron 57 vulnerabilidades, entre ellas tres zero-day (una ya se está utilizando activamente en ataques) y tres vulnerabilidades críticas de ejecución remota de código. Se recomienda a administradores y usuarios de Windows instalar los parches lo antes posible.

Este paquete incluye 28 vulnerabilidades de elevación de privilegios, 19 problemas de ejecución remota de código, 4 vulnerabilidades de divulgación de información, 3 denegaciones de servicio y 2 vulnerabilidades de suplantación. El informe no incluye 15 vulnerabilidades en Microsoft Edge ni errores en Mariner, cerrados por actualizaciones separadas a principios de diciembre. Para quienes siguen las actualizaciones de funciones, Microsoft publicó paralelamente boletines separados sobre las actualizaciones acumulativas de Windows 11 (KB5072033 y KB5071417).

El principal problema del mes es la vulnerabilidad de elevación de privilegios CVE-2025-62221 en el controlador Windows Cloud Files Mini Filter, que se está explotando activamente. Un error tipo use-after-free permite a un atacante local que ya tenga una cuenta en el sistema elevar sus privilegios al nivel SYSTEM. Es precisamente la clase de vulnerabilidades que los atacantes suelen usar junto con otros fallos: primero obtienen un acceso inicial y luego explotan un fallo de elevación de privilegios como este para tomar el control total de la máquina. Microsoft atribuye el descubrimiento a sus equipos MSTIC y MSRC, pero no revela detalles sobre ataques reales.

Otras dos vulnerabilidades zero-day corregidas en la edición de diciembre ya se habían divulgado públicamente antes de la publicación del parche, lo que aumenta el riesgo de intentos de explotación.

La primera es CVE-2025-64671 en GitHub Copilot para IDE de JetBrains. Se trata de una vulnerabilidad de ejecución remota de código, relacionada con el filtrado incorrecto de caracteres especiales en comandos (inyección de comandos). En esencia, un atacante podría lograr la ejecución de comandos arbitrarios localmente si convence a Copilot de generar o completar un comando en el terminal. Microsoft destaca además el escenario de Cross Prompt Injection: sugerencias maliciosas pueden insertarse en archivos no confiables o en servidores MCP, y con la función de confirmación automática de comandos en el terminal activada, comandos adicionales maliciosos podrían adherirse a un comando legítimo. La vulnerabilidad fue descrita por el investigador Ari Marzuk en el trabajo «IDEsaster: A Novel Vulnerability Class in AI IDEs», donde muestra cómo las sugerencias de IA en los IDE se convierten en superficie de ataque.

La segunda zero-day divulgada públicamente es CVE-2025-54100 en Windows PowerShell. De nuevo se trata de inyección de comandos: al usar Invoke-WebRequest, los scripts incrustados en la página web descargada podían ejecutarse durante su procesamiento. Es decir, bastaba con obtener el contenido de la página vía PowerShell para potencialmente ejecutar código que el usuario no tenía intención de ejecutar, si la página resultaba maliciosa.

Como mitigación, Microsoft cambió el comportamiento de PowerShell: ahora, al usar Invoke-WebRequest, se muestra una advertencia sobre el riesgo de ejecutar scripts procedentes de contenido web y se sugiere añadir la opción -UseBasicParsing para desactivar el análisis avanzado y así evitar la ejecución de código. Este es un cambio importante para administradores y desarrolladores que usan solicitudes web en automatizaciones: conviene revisar los scripts antiguos y especificar explícitamente el modo de operación.

Entre las vulnerabilidades críticas destacan tres problemas en Microsoft Office: dos RCE en Office (CVE-2025-62554 y CVE-2025-62557) y una en Outlook (CVE-2025-62562). Tradicionalmente, para esta clase de fallos basta con abrir un documento o un correo especialmente diseñado para permitir al atacante ejecutar código arbitrario con los privilegios del usuario. En entornos corporativos sigue siendo uno de los vectores más utilizados para el phishing y los ataques dirigidos.

Además, el parche corrige un amplio espectro de vulnerabilidades en componentes del sistema de Windows: desde los controladores Windows Storage VSP y Resilient File System (ReFS) hasta Windows Projected File System, Win32k y Windows Shell. Hay vulnerabilidades en los servicios Remote Access Connection Manager y Routing and Remote Access Service (RRAS), en DirectX y en Hyper-V. Muchas de ellas se clasifican como importantes (Important) y pueden utilizarse para afianzarse en el sistema, eludir el aislamiento y moverse dentro de la red tras la intrusión inicial.

Las actualizaciones afectan también a productos de servidor: se corrigieron vulnerabilidades de elevación de privilegios y de suplantación en Microsoft Exchange Server, así como fallos en SharePoint Server, lo que hace que la edición de diciembre sea especialmente relevante para administradores de infraestructuras corporativas donde estas soluciones suelen estar expuestas a Internet.

Además de Microsoft, otros proveedores publicaron sus boletines de diciembre. Adobe corrigió vulnerabilidades en ColdFusion, Experience Manager, DNG SDK, Acrobat Reader y en el cliente de Creative Cloud. Fortinet actualizó varios productos, entre ellos la corrección de una vulnerabilidad crítica de elusión de autenticación en FortiCloud SSO. Google publicó el boletín de seguridad de diciembre para Android con correcciones de dos vulnerabilidades ya explotadas. Ivanti lanzó parches, incluida la corrección de una XSS con puntuación CVSS 9.6 en Ivanti Endpoint Manager. React solucionó una RCE crítica, React2Shell, en React Server Components, que ya se está utilizando activamente en ataques. SAP cerró numerosos fallos, entre ellos una vulnerabilidad de ejecución de código con puntuación CVSS 9.9 en SAP Solution Manager.

Los administradores deberían, en primer lugar, instalar las actualizaciones que corrigen la CVE-2025-62221, la vulnerabilidad de PowerShell CVE-2025-54100 y el fallo en GitHub Copilot CVE-2025-64671, así como las RCE críticas en Office y Outlook y las actualizaciones para servidores accesibles desde Internet (Exchange, SharePoint, RRAS). Después conviene desplegar de forma planificada el resto de correcciones de diciembre de Microsoft y las actualizaciones correspondientes de otros proveedores. La lista completa de vulnerabilidades y productos afectados está disponible en el informe oficial.