Microsoft publicó el martes (14/5) actualizaciones de seguridad que corrigen 78 vulnerabilidades en su línea de software, siendo 11 clasificadas como críticas, 66 como importantes y una de baja gravedad. Entre ellas, destacan cinco fallas zero-day que estaban siendo explotadas activamente en entornos reales. Las vulnerabilidades corregidas abarcan ejecución remota de código, elevación de privilegios y divulgación de información sensible, afectando diversas áreas del sistema operativo y aplicaciones.
Las cinco fallas zero-day involucran brechas en el motor de scripting, en la biblioteca DWM Core, en el controlador CLFS y en el controlador de función auxiliar para WinSock, que permiten desde la ejecución arbitraria de código hasta la elevación de privilegios. Tres de estas fallas fueron identificadas por el equipo interno de Microsoft, mientras que las demás fueron descubiertas por investigadores externos. La agencia estadounidense de ciberseguridad (CISA) incluyó todas estas vulnerabilidades en su catálogo de vulnerabilidades conocidas explotadas, determinando que los organismos federales apliquen las correcciones antes del 3 de junio de 2025.
Además de esas cinco fallas explotadas, el paquete del Patch Tuesday también incluye una corrección para una vulnerabilidad de elevación de privilegios en Microsoft Defender for Endpoint para Linux, causada por un script en Python que puede ejecutar binarios Java desde una ubicación no confiable, lo que permite a un atacante local obtener privilegios elevados. Otra falla relevante es un problema de suplantación de identidad (spoofing) en Microsoft Defender for Identity, capaz de permitir la recolección de credenciales NTLM desde la red local.
La actualización también destaca el parche para una vulnerabilidad de severidad máxima (CVSS 10.0) en Azure DevOps Server, que posibilita la elevación de privilegios por parte de atacantes no autorizados de forma remota a través de la red. Según Microsoft, la corrección ya fue aplicada en los servicios en la nube de la empresa, por lo que los clientes no necesitan realizar ninguna acción adicional.
Este post fue traducido y resumido a partir de su versión original con el uso de IA, con revisión humana.
Con información de The Hacker News