La Agencia de Ciberseguridad y Seguridad de la Infraestructura (CISA) ha emitido una alerta urgente tras incorporar cinco nuevas vulnerabilidades de día cero de Microsoft Windows a su Catálogo de Vulnerabilidades Explotadas Conocidas (KEV). Esta acción se fundamenta en la evidencia de explotación activa de dichas vulnerabilidades en entornos reales.
Estas vulnerabilidades, que afectan a componentes esenciales de Windows, han sido catalogadas como vectores de ataque críticos, lo que exige una atención inmediata por parte de organizaciones y usuarios a nivel global.
Las cinco vulnerabilidades, todas parcheadas por Microsoft en su actualización del martes de parches de mayo de 2025, son:
- CVE-2025-30400: una vulnerabilidad de uso posterior a la liberación en la biblioteca principal del Administrador de ventanas de escritorio de Windows (DWM). La explotación exitosa permite a un atacante elevar los privilegios localmente, obteniendo potencialmente acceso a nivel de SISTEMA.
- CVE-2025-32701: una falla de uso después de la liberación en el controlador del Sistema de archivos de registro común (CLFS) de Windows, que permite la escalada de privilegios locales a SISTEMA.
- CVE-2025-32706: un desbordamiento del búfer basado en montón en el controlador CLFS, que también facilita la escalada de privilegios locales.
- CVE-2025-30397: Una vulnerabilidad de confusión de tipos en Microsoft Windows Scripting Engine. Esta falla de ejecución remota de código puede activarse a través de una URL especialmente diseñada, lo que permite a los atacantes ejecutar código arbitrario a través de una red si un usuario es atraído a un sitio malicioso.
- CVE-2025-32709: una vulnerabilidad de uso posterior a la liberación en el controlador de funciones auxiliares de Windows para WinSock, que permite a un atacante escalar privilegios al administrador.
Las cinco vulnerabilidades se han observado bajo explotación activa, aunque actualmente no hay evidencia pública que las vincule con campañas de ransomware específicas.
Los expertos en seguridad advierten que estas vulnerabilidades representan un riesgo significativo tanto para el gobierno como para las organizaciones del sector privado, ya que permiten a los atacantes escalar privilegios o ejecutar código de forma remota.
Las vulnerabilidades afectan a todas las versiones compatibles de Windows y su explotación podría comprometer todo el sistema, robo de datos, instalación de malware y movimiento lateral a través de las redes.
La inclusión de estas fallas por parte de CISA en el catálogo KEV genera un mandato para que las agencias federales de EE. UU. apliquen los parches de seguridad de Microsoft antes del 3 de junio de 2025.
Sin embargo, CISA insta encarecidamente a todas las organizaciones, no sólo a las entidades federales, a priorizar la aplicación de parches como parte de sus prácticas de gestión de vulnerabilidades. La agencia enfatiza que la corrección oportuna es fundamental, ya que los atacantes a menudo actúan rápidamente para explotar las fallas recientemente reveladas.
CISA y Microsoft aconsejan a todas las organizaciones y usuarios que:
- Aplique las últimas actualizaciones de seguridad de Microsoft inmediatamente.
- Siga las instrucciones de mitigación específicas del proveedor si no se pueden aplicar los parches.
- Revisar e implementar la guía bajo la Directiva Operativa Vinculante (BOD) 22-01 para servicios en la nube.
- Suspenda el uso de los productos afectados si no hay mitigaciones disponibles.
Esta reciente actividad de explotación de vulnerabilidades de día cero subraya la amenaza continua que enfrentan los sistemas Windows. Los expertos en seguridad anticipan que los atacantes, incluyendo grupos vinculados a ransomware, persistirán en la focalización de fallos de escalada de privilegios y ejecución remota de código para obtener acceso inicial y facilitar el movimiento lateral dentro de las redes.
Ante la continuidad de esta explotación, se exhorta a las organizaciones a implementar medidas con celeridad para reducir al mínimo su exposición y salvaguardar los sistemas críticos frente a posibles riesgos.
