Como ya sabemos, cada segundo martes del mes, Microsoft lanza parches de seguridad para sus productos. Este ciclo, conocido como Patch Tuesday, es clave para mantener protegidos los sistemas frente a nuevas amenazas. Y el boletín de octubre de 2025 no fue la excepción: Microsoft lanzó nada menos que 172 actualizaciones, incluyendo seis fallas de día cero, de las cuales dos ya están siendo explotadas activamente en ataques reales.
Este volumen de parches refleja el constante crecimiento del panorama de amenazas, con errores críticos que afectan desde aplicaciones de Office hasta el núcleo del sistema operativo Windows. Entre las fallas más graves se encuentran vulnerabilidades de ejecución remota de código y problemas de elevación de privilegios, ambos tipos muy buscados por ciberdelincuentes para comprometer sistemas.
Además, estas actualizaciones llegan en un momento importante: muchas organizaciones están en plena transición por el fin de soporte de Windows 10, lo que hace que aplicar parches de seguridad a tiempo sea más importante que nunca para evitar brechas, especialmente frente a amenazas cada vez más sofisticadas como los grupos de ransomware o atacantes patrocinados por estados.
En total, las correcciones abarcan una gran variedad de productos de Microsoft, desde Windows y Microsoft Office, hasta Azure, Exchange Server, y más.
En TecnetOne queremos que estés siempre al tanto de este tipo de actualizaciones y buenas prácticas de ciberseguridad. Por eso, te recomendamos revisar regularmente los boletines de seguridad en nuestro TecnetBlog, aplicar los parches lo antes posible y contar con una estrategia de protección proactiva. La prevención sigue siendo la mejor defensa.
Como es habitual, las vulnerabilidades parcheadas se agrupan en diferentes categorías según el tipo de amenaza que representan. En el boletín de octubre de 2025, las fallas más comunes fueron las de elevación de privilegios, que una vez más encabezan la lista. Aquí te dejamos el desglose completo:
80 vulnerabilidades de elevación de privilegios – Este tipo de fallo permite a los atacantes obtener más permisos de los que deberían, lo que puede llevar al control total del sistema si no se corrige a tiempo.
11 vulnerabilidades de omisión de funciones de seguridad – Fallas que permiten desactivar o evitar protecciones integradas del sistema.
31 vulnerabilidades de ejecución remota de código (RCE) – Muy peligrosas, ya que permiten a los atacantes ejecutar código malicioso a distancia, sin interacción física con el dispositivo.
28 vulnerabilidades de divulgación de información – Errores que pueden exponer datos sensibles a personas no autorizadas.
11 vulnerabilidades de denegación de servicio (DoS) – Pueden ser usadas para interrumpir o ralentizar servicios clave, afectando la disponibilidad de sistemas.
10 vulnerabilidades de suplantación de identidad (spoofing) – Permiten a los atacantes hacerse pasar por usuarios o servicios legítimos para engañar al sistema o a otras personas.
Este desglose nos da una buena idea de dónde están los mayores focos de riesgo este mes y por qué es fundamental aplicar los parches cuanto antes.
Como recordatorio, una vulnerabilidad de día cero es cualquier fallo que ha sido divulgado públicamente o explotado activamente antes de que exista un parche oficial. En este ciclo, se corrigieron varias de estas fallas críticas en Windows, SQL Server, TPM 2.0, y hasta en sistemas operativos de terceros como IGEL OS.
Una de las vulnerabilidades explotadas activamente más destacadas fue CVE-2025-24990, que afecta al controlador de módem Agere, incluido de forma nativa en versiones compatibles de Windows.
Microsoft confirmó que este controlador se estaba usando para obtener privilegios administrativos, por lo que decidió eliminarlo completamente como parte de esta actualización. El archivo afectado, ltmdm64.sys, ya no estará presente tras instalar el parche de octubre.
Eso sí, Microsoft advierte que esto también dejará inoperativos los módems de fax que dependan de ese controlador.
Otro día cero activamente explotado es CVE-2025-59230, una falla en el Administrador de conexiones de acceso remoto de Windows que permitía a un atacante con acceso local elevar sus privilegios al nivel de SYSTEM, el máximo dentro de Windows.
Microsoft explicó que se trata de un problema de control de acceso inadecuado, y aunque no es trivial de explotar, sí requiere una preparación técnica considerable por parte del atacante.
Aunque no se trata de un producto de Microsoft directamente, la empresa incluyó en este boletín una corrección para IGEL OS, un sistema operativo usado en entornos corporativos y thin clients.
CVE-2025-47827 permite omitir el arranque seguro debido a una verificación incorrecta de firmas criptográficas en el módulo igel-flash-driver. Esto habilita el montaje de sistemas de archivos raíz desde imágenes maliciosas no verificadas, lo que abre la puerta a malware persistente.
Microsoft también reconoció la existencia de otras tres vulnerabilidades día cero divulgadas públicamente, aunque no todas han sido confirmadas como activamente explotadas en el momento del parche.
Esta vulnerabilidad, atribuida a AMD, afecta a servidores que utilizan SEV-SNP (Secure Encrypted Virtualization – Secure Nested Paging). El fallo se encuentra en la inicialización de la tabla de asignación inversa (RMP) y podría permitir a un hipervisor malicioso alterar la memoria protegida de una máquina virtual.
Aunque el riesgo de exposición de datos en texto claro es bajo, sí representa una amenaza a la integridad de la memoria en entornos virtualizados. Microsoft aún está trabajando en parches para los clusters de Azure Confidential Computing basados en AMD, y notificará a los clientes afectados vía Azure Service Health cuando estén disponibles.
Muy similar a la vulnerabilidad CVE-2025-24990 mencionada antes, CVE-2025-24052 también afecta al mismo controlador de módem de Agere, y fue divulgada públicamente.
Microsoft enfatiza que esta falla puede ser explotada incluso si el módem no está activo o en uso, lo que amplía su riesgo a prácticamente todas las versiones compatibles de Windows.
Por último, se corrigió una vulnerabilidad en la implementación de referencia del Trusted Platform Module (TPM) 2.0, ampliamente utilizada en sistemas modernos para proteger el proceso de arranque y la integridad del sistema.
CVE-2025-2884 se encuentra en la función CryptHmacSign y es consecuencia de una validación incompleta de los algoritmos de firma. Podría permitir una lectura fuera de los límites, provocando divulgación de información sensible o incluso una posible denegación de servicio del módulo TPM.
Podría interesarte leer: ¿Qué es la Administración de Parches de Terceros?
A continuación, te compartimos un resumen por categoría, destacando los productos más afectados y los tipos de fallas más críticos.
| Producto/Componente | CVE / Falla | Tipo de vulnerabilidad | Severidad | Notas clave |
|---|---|---|---|---|
| Windows (general) | Múltiples (80+) | Elevación de privilegios | Importante a Crítica | Kernel, Bluetooth, NTFS, Speech, SSDP, etc. |
| Windows | CVE-2025-59230 | Elevación de privilegios | Importante | Día cero explotado – Remote Access Connection Manager |
| Windows | CVE-2025-47827 | Omisión de arranque seguro | Importante | IGEL OS < v11 – Secure Boot bypass |
| Windows | CVE-2025-59287 | Ejecución remota de código (RCE) | Crítica | Windows Server Update Services (WSUS) – sin autenticación |
| Windows – NTLM | CVE-2025-59185, CVE-2025-59244 | Suplantación de identidad | Importante | Divulgación de hash NTLM |
| Microsoft Office / Excel | CVE-2025-59234, CVE-2025-59236, otros | RCE al abrir archivos maliciosos | Crítica | Día cero – ampliamente usados en campañas de phishing |
| Microsoft Exchange Server | CVE-2025-59248, CVE-2025-59249 | Elevación de privilegios, spoofing | Importante | Correcciones para entorno empresarial |
| Azure Entra ID | CVE-2025-59218, CVE-2025-59246 | Elevación de privilegios | Crítica | Alto impacto en autenticación en la nube |
| Azure (general) | CVE-2025-59291, CVE-2025-59292 | Elevación de privilegios | Crítica | Compute Gallery / Container Instances |
| Azure Monitor / Connected Agent | CVE-2025-59285, CVE-2025-59494 | Elevación de privilegios | Importante | Afecta supervisión de cargas en la nube |
| TPM 2.0 (Trusted Platform Module) | CVE-2025-2884 | Lectura fuera de límites / Info leak | Importante | Vulnerabilidad en módulo de arranque seguro – día cero público |
| AMD SEV-SNP (procesadores EPYC) | CVE-2025-0033 | Corrupción de memoria (RMP) | Crítica | Riesgo para integridad de máquinas virtuales – aún sin parche completo en Azure |
| Driver módem Agere (Windows) | CVE-2025-24990, CVE-2025-24052 | Elevación de privilegios | Importante | Día cero explotado – Microsoft eliminó el controlador |
| .NET / Visual Studio | CVE-2025-55247, CVE-2025-55248 | Elevación de privilegios, info leak | Importante | Afecta entornos de desarrollo y despliegue |
| Microsoft Edge (Chromium) | Múltiples (CVE-2025-112xx, etc.) | Varios: RCE, fuga de información | Desconocida | Basados en errores del proyecto Chromium |
| Microsoft Copilot / M365 | CVE-2025-59272, CVE-2025-59252, CVE-2025-59286 | Suplantación de identidad | Crítica | Riesgo en plataformas con IA integrada |
| Servicios COM | CVE-2025-58732 al CVE-2025-58738 | Ejecución remota de código (RCE) | Importante | Afectan múltiples componentes de Windows (COM global) |
| Microsoft Defender para Linux | CVE-2025-59497 | Denegación de servicio (DoS) | Importante | Relevante en entornos de seguridad híbridos |
| Microsoft PowerShell | CVE-2025-25004 | Elevación de privilegios | Importante | Puede permitir ejecución privilegiada |
| BitLocker (Windows) | CVE-2025-55332, CVE-2025-55338 y más | Omisión de funciones de seguridad | Importante | Posible desactivación de cifrado |
Nota: Esta tabla resume solo las vulnerabilidades más destacadas. El boletín completo incluye más de 100 CVEs relacionados con productos Windows, Office, Azure, Edge, Visual Studio y hardware de terceros. Para un detalle técnico completo, te recomendamos revisar la guía oficial de actualizaciones de seguridad de Microsoft.
La presencia de seis vulnerabilidades de día cero en un solo boletín subraya lo urgente que es aplicar estas actualizaciones sin demora. Algunas de estas fallas ya están siendo explotadas activamente, mientras que otras, aunque aún no han sido utilizadas en ataques conocidos, ya son públicas y podrían convertirse en blanco de nuevas campañas en cualquier momento.
Además, los fallos no se limitan a un solo entorno. Afectan tanto a infraestructura local (como Windows, SQL Server y Exchange Server) como a entornos en la nube y sistemas virtualizados, incluyendo Azure, IGEL OS y hardware con procesadores AMD con SEV-SNP. Esto significa que cualquier organización (ya sea tradicional, híbrida o 100% cloud) está potencialmente en riesgo.
Desde escaladas de privilegios locales, hasta bypasses de arranque seguro o fallas en la protección de memoria sensible, el perfil de estas vulnerabilidades demuestra la sofisticación y diversidad de las amenazas actuales.
Consejo de TecnetOne: Aplicar los parches de seguridad lo antes posible es una de las maneras más efectivas de proteger los sistemas contra ataques dirigidos, malware, ransomware y brechas de datos. No hacerlo deja la puerta abierta a amenazas que ya están activamente buscando puntos débiles que explotar.
Mantener tus sistemas al día es una práctica básica, pero fundamental, dentro de cualquier estrategia de ciberseguridad.