Microsoft ha lanzado una actualización de seguridad integral que aborda 67 vulnerabilidades en todo su ecosistema de software. Esto incluye una crítica vulnerabilidad de día cero en creación y control de versiones distribuidos en la Web (WebDAV) que actualmente se está explotando en ataques del mundo real.
Desglose del mes de junio 2025 Actualización del martes de parches
El mes de junio 2025 la actualización categoriza 11 vulnerabilidades como críticas y 56 tan importante. Entre los problemas solucionados se encuentran::
- 26 Ejecución remota de código (RCE) defectos
- 17 Errores de divulgación de información
- 14 Vulnerabilidades de escalada de privilegios
Además de estos, Microsoft lo resolvió 13 Problemas de seguridad en su navegador Edge basado en Chromium desde el último martes de parches.
Explotación de día cero: CVE-2025-33053 en WebDAV
Una de las amenazas más importantes parcheadas este mes es una falla de ejecución remota de código en WebDAV, rastreado como CVE-2025-33053 con una puntuación CVSS de 8.8. La falla se puede explotar engañando a los usuarios para que hagan clic en una URL especialmente diseñada., que desencadena la ejecución de malware a través de un servidor remoto.
Este día cero, El primero reportado en el protocolo WebDAV, Fue descubierto por los investigadores de Check Point Alexandra Gofman y David Driker.. Según Check Point, La falla permite a los atacantes manipular el directorio de trabajo para ejecutar código de forma remota..
Campaña dirigida de Stealth Falcon
Los investigadores de ciberseguridad han atribuido la explotación de CVE-2025-33053 a Stealth Falcon, También conocido como FruityArmor, un actor de amenazas conocido por Aprovechar los días cero de Windows. En un reciente ataque contra un contratista de defensa turco, Stealth Falcon implementó un archivo de acceso directo malicioso en un correo electrónico de phishing, que lanzó una sofisticada cadena de distribución de malware.
El ataque comenzó con un .url Archivo que explota la falla de WebDAV para ejecutar `iediagcmd.exe`, una herramienta de diagnóstico legítima de Internet Explorer. Esta herramienta luego se lanzó Cargador de Horus, que sirvió como señuelo al cargar un documento PDF Agente de Horus, Un implante personalizado construido utilizando el marco de comando y control mítico.
Escrito en C++, Horus Agent es una evolución del implante anterior del grupo., *Apolo*, e incorpora mejoras ocultas como el cifrado de cadenas y el aplanamiento del flujo de control.. Se conecta a un servidor remoto para obtener comandos como la enumeración del sistema., acceso a archivos, y la inyección de código shell.
Nuevas herramientas en el arsenal de los actores de amenazas
El análisis de Check Point también identificó herramientas no documentadas previamente utilizadas en la campaña., Incluido:
- Volcador de credenciales, que extrae credenciales de controladores de dominio comprometidos
- Puerta trasera pasiva, que escucha las solicitudes C2 entrantes y ejecuta el código shell
- Keylogger, que está diseñado a medida en C++ para registrar pulsaciones de teclas en un archivo temporal, falta de capacidad C2 directa
Estas herramientas están protegidas con software de ofuscación comercial y personalizadas para evitar la ingeniería inversa..
Respuesta de CISA y preocupaciones de la industria
Debido a la explotación activa de CVE-2025-33053, los Estados Unidos. Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA) lo ha añadido a sus Vulnerabilidades Explotadas Conocidas (KEV) catalogar, que exige que las agencias federales corrijan la falla antes de julio 1, 2025.
Mike Walters, Presidente de Action1, Enfatizó que la falla es particularmente peligrosa debido al uso generalizado de WebDAV en entornos empresariales para compartir archivos y colaborar., A menudo sin una comprensión completa de las implicaciones de seguridad.
Otras vulnerabilidades de alto impacto
Entre los problemas más críticos resueltos se encuentra una falla de escalada de privilegios en Microsoft Power Automate (CVE-2025-47966), que anotó 9.8 en la escala CVSS. Microsoft confirmó que no se requiere ninguna acción del usuario para este parche.
Otras vulnerabilidades notables incluyen::
- CVE-2025-32713 – Elevación de privilegios en el controlador del sistema de archivos de registro común
- CVE-2025-33070 – Escalada de privilegios en Windows Netlogon
- CVE-2025-33073 – Una vulnerabilidad conocida públicamente en el cliente SMB de Windows, Lo cual los investigadores revelaron que es, de hecho, un RCE autenticado mediante un ataque de retransmisión Kerberos reflexivo.
El investigador de seguridad Ben McCarthy señaló que la vulnerabilidad CLFS es un desbordamiento de montón de baja complejidad que ha llamado la atención de los actores de ransomware en los últimos meses..
Mientras tanto, CVE-2025-33073, reportado por varios equipos de investigación, incluidos Google Project Zero y Synacktiv, permite a los atacantes lograr la ejecución de comandos a nivel de SISTEMA explotando la firma SMB configurada incorrectamente.
Falla del proxy KDC y elusión del arranque seguro
CVE-2025-33071, Una vulnerabilidad de ejecución remota de código en el proxy KDC de Windows, Implica una condición de carrera criptográfica. Según Adam Barnett de Rapid7, Es probable que sea explotable en escenarios del mundo real debido a la naturaleza de la exposición del proxy KDC en redes empresariales..
Además, Microsoft corrigió una vulnerabilidad de omisión de arranque seguro (CVE-2025-3052), descubierto por Binarly. El problema afecta a las aplicaciones UEFI firmadas con el certificado UEFI de terceros de Microsoft y permite que se ejecute código malicioso antes de que se cargue el sistema operativo..
CERT/CC explicó que la causa raíz radica en cómo las aplicaciones UEFI de DT Research manejan las variables NVRAM. Un control de acceso inadecuado permite que un atacante modifique estructuras críticas de firmware, Permitir la persistencia y el compromiso del sistema a nivel de firmware.
Hidrofobia: Otra omisión de arranque seguro que Microsoft no solucionó
Aunque no afecta directamente a Microsoft, Otra omisión del arranque seguro (CVE-2025-4275), apodado Hydroph0bia, También se reveló. Esta vulnerabilidad se debe al uso inseguro de una variable NVRAM no protegida en el firmware InsydeH2O, permitiendo a los atacantes inyectar sus propios certificados digitales confiables y ejecutar firmware arbitrario durante el arranque inicial.
No hace falta decir, Se insta a las organizaciones a priorizar las vulnerabilidades recientemente parcheadas, Especialmente aquellos bajo explotación activa como CVE-2025-33053.