Actualización de seguridad de Patch Tuesday de Microsoft – Febrero 2025
Microsoft lanzó su actualización de seguridad de Patch Tuesday para febrero de 2025. Esta es una actualización mensual para Windows que incluye todos los parches de seguridad y las correcciones de estabilidad en las que Microsoft ha estado trabajando desde la última versión. Aunque estas actualizaciones llegan sin nuevas funciones para el usuario, eso no significa que no sean igualmente importantes. Según Bleeping Computer, esta última actualización de Patch Tuesday corrige 55 fallos de seguridad en Windows. Esto incluye 22 fallos de ejecución remota de código, 19 fallos de elevación de privilegios, nueve fallos de denegación de servicio, tres fallos de suplantación, dos fallos de omisión de características de seguridad y un fallo de divulgación de información.
Fallos críticos abordados en la actualización
A pesar de que todos los 55 fallos eran importantes, cuatro de ellos eran especialmente esenciales de reparar, y dos de esos eran aún más vitales. Cuatro de estos fallos eran vulnerabilidades de día cero, fallos de seguridad que son conocidos públicamente sin un parche disponible. Esto crea una situación peligrosa, ya que los actores maliciosos inevitablemente encontrarán formas de explotar estos fallos de seguridad. La clave es que los desarrolladores de software descubran y reparen estos fallos antes de que los actores maliciosos tengan la oportunidad de conocerlos. En esta última actualización de Patch Tuesday se corrigieron cuatro vulnerabilidades de este tipo. Dos de ellas no han sido explotadas activamente, o al menos, Microsoft asegura que no lo han sido.
Una de estas vulnerabilidades es la CVE-2025-21194, una falla de omisión de características de seguridad de Microsoft Surface que podría permitir eludir la Interfaz de Firmware Extensible Unificada (UEFI) y comprometer tanto el hipervisor como el núcleo seguro de máquinas específicas. En otras palabras, esta falla podría permitir que actores maliciosos comprometan el programa que da soporte a máquinas virtuales en Windows, así como el núcleo de su sistema operativo.
La otra falla divulgada públicamente fue la CVE-2025-21377, una vulnerabilidad de suplantación de divulgación de hash NTLM, que permite a los actores maliciosos acceder al hash NTLM de su computadora para obtener su contraseña en texto claro. Con esta falla particular, un usuario podría simplemente seleccionar, hacer clic derecho o interactuar con un archivo malicioso para activar la explotación, lo que podría permitir que un hacker inicie sesión en la máquina como el usuario.
Vulnerabilidades activamente explotadas
Sin embargo, las otras dos vulnerabilidades de día cero corregidas en esta actualización fueron, de hecho, explotadas activamente. Eso incluye la CVE-2025-21391, una vulnerabilidad de elevación de privilegios de almacenamiento en Windows que permitía a actores maliciosos eliminar archivos específicos en su computadora. Microsoft aclaró que esta falla no permite a los actores maliciosos ver su información confidencial, pero ser capaz de eliminar archivos significa que los atacantes podrían dañar partes de su sistema. La segunda falla de día cero que se explotó activamente fue la CVE-2025-21418, una vulnerabilidad de elevación de privilegios que permitió a actores maliciosos obtener privilegios de sistema en Windows. Microsoft no compartió cómo se explotaron estas dos fallas por parte de los actores maliciosos y mantiene en anonimato las identidades de quienes las descubrieron. Aunque no conocemos la magnitud completa de estas últimas dos vulnerabilidades de día cero, es importante actualizarlas y aplicar los parches lo antes posible. Como están siendo explotadas activamente, es posible que alguien pueda utilizarlas contra su computadora a menos que instale el parche.
Cómo instalar las últimas actualizaciones de seguridad en Windows
Para proteger su PC, instale esta última actualización de Patch Tuesday lo antes posible. Para hacerlo, dirígete a Inicio > Configuración > Actualización de Windows, luego elige Buscar actualizaciones de Windows.
Fuente y créditos: lifehacker.com
Cats: Tech
