Hoy es Patch Tuesday de mayo de 2025, y como cada segundo martes del mes, Microsoft ha publicado su paquete de actualizaciones de seguridad. Esta vez llega con bastantes arreglos: se corrigieron 72 fallas, entre ellas cinco que ya estaban siendo explotadas activamente y dos vulnerabilidades de día cero que ya eran de conocimiento público.
Dentro de las correcciones, se destacan seis vulnerabilidades clasificadas como “críticas”, cinco de las cuales permiten la ejecución remota de código (una de las más graves) y una relacionada con la exposición de información sensible. Aquí te dejamos cómo se reparten los fallos corregidos según su tipo:
17 de elevación de privilegios
2 de omisión de funciones de seguridad
28 de ejecución remota de código
15 de divulgación de información
7 de denegación de servicio
2 de suplantación de identidad
Importante: este listado no incluye las fallas ya corregidas este mes en Azure, Dataverse, Mariner o Microsoft Edge, que se resolvieron en actualizaciones anteriores. En resumen, si usas productos de Microsoft, especialmente Windows, no dejes pasar esta ronda de actualizaciones. Es una de las más relevantes del año hasta ahora.
En el Patch Tuesday de mayo 2025, Microsoft solucionó cinco fallas de seguridad que ya estaban siendo aprovechadas por atacantes. Se trata de lo que se conoce como vulnerabilidades de día cero, es decir, errores que aún no tenían un parche cuando ya estaban siendo explotados o eran de conocimiento público. Esto es importante porque significa que los ciberdelincuentes estaban usando activamente estas brechas para atacar sistemas antes de que existiera una solución oficial.
Este fallo afecta a la biblioteca DWM (Desktop Window Manager), una parte esencial del sistema gráfico de Windows. La vulnerabilidad permitía que un atacante que ya tuviera acceso limitado pudiera elevar sus privilegios y controlar completamente el sistema (privilegios de SISTEMA).
El fallo está relacionado con una técnica clásica: el uso después de liberar memoria (use-after-free). En pocas palabras, Windows intenta usar un recurso que ya ha sido liberado, lo que abre la puerta a manipulación maliciosa. Esta vulnerabilidad fue descubierta por el Microsoft Threat Intelligence Center.
Microsoft solucionó una vulnerabilidad bastante seria que estaba siendo explotada activamente. Permitía que un atacante con acceso limitado pudiera obtener control total del sistema, algo que se conoce como privilegios de SISTEMA.
Según explicó Microsoft, el problema estaba en el controlador del sistema de archivos de registro común de Windows (CLFS), y se trataba de un clásico error de programación llamado "uso después de liberar". Básicamente, Windows intentaba usar un recurso de memoria que ya no estaba disponible, lo que abría la puerta a abusos. Esta vulnerabilidad fue descubierta por el equipo del Centro de Inteligencia de Amenazas de Microsoft.
Parece que el CLFS ha dado varios dolores de cabeza últimamente. Esta vez, la vulnerabilidad venía por una mala validación de entradas, algo que puede parecer simple pero que tiene consecuencias graves.
Con esta falla, un atacante autorizado podía escalar privilegios localmente y comprometer completamente el sistema. El hallazgo se le atribuye a Benoit Sevens del Google Threat Intelligence Group y al equipo de investigación avanzada de CrowdStrike.
Este fallo afectaba al controlador relacionado con WinSock, una interfaz de red en Windows. Igual que los anteriores, permitía a un atacante elevar privilegios de forma local gracias a un problema de tipo use-after-free. En este caso, la persona que reportó la vulnerabilidad eligió mantenerse en el anonimato, pero el error fue confirmado y corregido por Microsoft.
Esta es la única vulnerabilidad de la lista que no es de escalada de privilegios, sino de ejecución remota de código (RCE). Afecta al Motor de Scripting de Microsoft, que utilizan tanto Edge como Internet Explorer.
El fallo se debe a una "confusión de tipos", un problema en el que el sistema accede a recursos con un tipo de dato incorrecto. Esto puede ser aprovechado por un atacante para ejecutar código malicioso si el usuario hace clic en un enlace manipulado. La buena noticia es que el atacante necesita que el usuario colabore de alguna forma (por ejemplo, haciendo clic en un enlace). Aun así, sigue siendo peligroso. Este problema también fue identificado por el equipo de Microsoft Threat Intelligence.
Además de las fallas que estaban siendo explotadas activamente, Microsoft también solucionó dos vulnerabilidades de día cero que ya se habían hecho públicas, es decir, que cualquiera con el conocimiento técnico podía intentar aprovecharlas antes de que existiera una solución oficial.
Esta vulnerabilidad afecta a Microsoft Defender for Identity y permite que un atacante sin necesidad de autenticarse suplante a otro usuario en una red local. El fallo se debe a una autenticación incorrecta, lo que facilita este tipo de ataques si el atacante tiene acceso a la misma red (por ejemplo, dentro de una empresa).
Microsoft explicó que un actor malicioso dentro de la red podría aprovechar esto para hacerse pasar por otro usuario y acceder a recursos restringidos. El responsable de identificar esta falla fue Joshua Murrell, de la firma de ciberseguridad NetSPI.
También se corrigió una vulnerabilidad crítica en Visual Studio, el entorno de desarrollo de Microsoft. Esta falla podía ser explotada por un atacante no autenticado para ejecutar código malicioso en el equipo de la víctima.
La causa: una inyección de comandos por una mala validación de elementos especiales dentro de los comandos usados en Visual Studio. En otras palabras, si alguien lograba que ejecutaras cierto archivo o acción maliciosa, podía tomar el control de tu sistema sin necesidad de permisos previos. Microsoft no reveló quién fue el investigador que reportó este error.
Este martes de parches trajo correcciones para decenas de vulnerabilidades, muchas de ellas críticas y otras bastante importantes, tanto en productos conocidos como en servicios en la nube, herramientas de desarrollo y aplicaciones de oficina.
A continuación te hacemos un resumen general de los errores corregidos. Hay un poco de todo: desde fallos que permitían ejecutar código malicioso o elevar privilegios, hasta problemas que filtraban información o afectaban servicios como Azure, Defender, Visual Studio y más.
| Etiqueta | Identificación CVE | Título CVE | Gravedad |
|---|---|---|---|
| .NET, Visual Studio y herramientas de compilación para Visual Studio | CVE-2025-26646 | Vulnerabilidad de suplantación de .NET, Visual Studio y Build Tools para Visual Studio | Importante |
| Servicios de certificados de Active Directory (AD CS) | CVE-2025-29968 | Vulnerabilidad de denegación de servicio de los Servicios de certificados de Active Directory (AD CS) | Importante |
| Azur | CVE-2025-33072 | Vulnerabilidad de divulgación de información en Microsoft msagsfeedback.azurewebsites.net | Crítico |
| Azur | CVE-2025-30387 | Vulnerabilidad de elevación de privilegios local en Document Intelligence Studio | Importante |
| Automatización de Azure | CVE-2025-29827 | Vulnerabilidad de elevación de privilegios en Azure Automation | Crítico |
| Azure DevOps | CVE-2025-29813 | Vulnerabilidad de elevación de privilegios en Azure DevOps Server | Crítico |
| Sincronización de archivos de Azure | CVE-2025-29973 | Vulnerabilidad de elevación de privilegios en la sincronización de archivos de Microsoft Azure | Importante |
| Proveedor de recursos de almacenamiento de Azure | CVE-2025-29972 | Vulnerabilidad de suplantación de identidad del proveedor de recursos de almacenamiento de Azure | Crítico |
| Sistema de archivos de intermediación de Microsoft | CVE-2025-29970 | Vulnerabilidad de elevación de privilegios en el sistema de archivos de intermediación de Microsoft | Importante |
| Microsoft Dataverse | CVE-2025-47732 | Vulnerabilidad de ejecución remota de código en Microsoft Dataverse | Crítico |
| Microsoft Dataverse | CVE-2025-29826 | Vulnerabilidad de elevación de privilegios en Microsoft Dataverse | Importante |
| Microsoft Defender para endpoints | CVE-2025-26684 | Vulnerabilidad de elevación de privilegios en Microsoft Defender | Importante |
| Microsoft Defender for Identity | CVE-2025-26685 | Vulnerabilidad de suplantación de identidad en Microsoft Defender | Importante |
| Microsoft Edge (basado en Chromium) | CVE-2025-4050 | Chromium: CVE-2025-4050 Acceso a memoria fuera de los límites en DevTools | Desconocido |
| Microsoft Edge (basado en Chromium) | CVE-2025-4096 | Chromium: CVE-2025-4096 Desbordamiento del búfer de montón en HTML | Desconocido |
| Microsoft Edge (basado en Chromium) | CVE-2025-29825 | Vulnerabilidad de suplantación de identidad en Microsoft Edge (basado en Chromium) | Bajo |
| Microsoft Edge (basado en Chromium) | CVE-2025-4052 | Chromium: CVE-2025-4052 Implementación inadecuada en DevTools | Desconocido |
| Microsoft Edge (basado en Chromium) | CVE-2025-4051 | Chromium: CVE-2025-4051 Validación de datos insuficiente en DevTools | Desconocido |
| Microsoft Edge (basado en Chromium) | CVE-2025-4372 | Chromium: CVE-2025-4372 Uso posterior a la liberación en WebAudio | Desconocido |
| Microsoft Office | CVE-2025-30377 | Vulnerabilidad de ejecución remota de código en Microsoft Office | Crítico |
| Microsoft Office | CVE-2025-30386 | Vulnerabilidad de ejecución remota de código en Microsoft Office | Crítico |
| Microsoft Office Excel | CVE-2025-29977 | Vulnerabilidad de ejecución remota de código en Microsoft Excel | Importante |
| Microsoft Office Excel | CVE-2025-30383 | Vulnerabilidad de ejecución remota de código en Microsoft Excel | Importante |
| Microsoft Office Excel | CVE-2025-29979 | Vulnerabilidad de ejecución remota de código en Microsoft Excel | Importante |
| Microsoft Office Excel | CVE-2025-30376 | Vulnerabilidad de ejecución remota de código en Microsoft Excel | Importante |
| Microsoft Office Excel | CVE-2025-30393 | Vulnerabilidad de ejecución remota de código en Microsoft Excel | Importante |
| Microsoft Office Excel | CVE-2025-32704 | Vulnerabilidad de ejecución remota de código en Microsoft Excel | Importante |
| Microsoft Office Excel | CVE-2025-30375 | Vulnerabilidad de ejecución remota de código en Microsoft Excel | Importante |
| Microsoft Office Excel | CVE-2025-30379 | Vulnerabilidad de ejecución remota de código en Microsoft Excel | Importante |
| Microsoft Office Excel | CVE-2025-30381 | Vulnerabilidad de ejecución remota de código en Microsoft Excel | Importante |
| Microsoft Office Outlook | CVE-2025-32705 | Vulnerabilidad de ejecución remota de código en Microsoft Outlook | Importante |
| PowerPoint de Microsoft Office | CVE-2025-29978 | Vulnerabilidad de ejecución remota de código en Microsoft PowerPoint | Importante |
| Microsoft Office SharePoint | CVE-2025-30378 | Vulnerabilidad de ejecución remota de código en Microsoft SharePoint Server | Importante |
| Microsoft Office SharePoint | CVE-2025-30382 | Vulnerabilidad de ejecución remota de código en Microsoft SharePoint Server | Importante |
| Microsoft Office SharePoint | CVE-2025-30384 | Vulnerabilidad de ejecución remota de código en Microsoft SharePoint Server | Importante |
| Microsoft Office SharePoint | CVE-2025-29976 | Vulnerabilidad de elevación de privilegios en Microsoft SharePoint Server | Importante |
| Administrador de PC de Microsoft | CVE-2025-29975 | Vulnerabilidad de elevación de privilegios en Microsoft PC Manager | Importante |
| Aplicaciones de Microsoft Power | CVE-2025-47733 | Vulnerabilidad de divulgación de información de Microsoft Power Apps | Crítico |
| Motor de scripting de Microsoft | CVE-2025-30397 | Vulnerabilidad de corrupción de memoria del motor de scripting | Importante |
| Servicio de puerta de enlace de Escritorio remoto | CVE-2025-26677 | Vulnerabilidad de denegación de servicio de la puerta de enlace de Escritorio remoto de Windows (RD Gateway) | Importante |
| Servicio de puerta de enlace de Escritorio remoto | CVE-2025-29967 | Vulnerabilidad de ejecución remota de código en el cliente de Escritorio remoto | Crítico |
| Servicio de puerta de enlace de Escritorio remoto | CVE-2025-29831 | Vulnerabilidad de ejecución remota de código en los Servicios de Escritorio remoto de Windows | Importante |
| Servicio de puerta de enlace de Escritorio remoto | CVE-2025-30394 | Vulnerabilidad de denegación de servicio de la puerta de enlace de Escritorio remoto de Windows (RD Gateway) | Importante |
| Rol: Windows Hyper-V | CVE-2025-29955 | Vulnerabilidad de denegación de servicio de Windows Hyper-V | Importante |
| Servicio de gestión de impresión universal | CVE-2025-29841 | Vulnerabilidad de elevación de privilegios del Servicio de gestión de impresión universal | Importante |
| UrlMon | CVE-2025-29842 | Vulnerabilidad de omisión de la función de seguridad de UrlMon | Importante |
| Visual Studio | CVE-2025-32703 | Vulnerabilidad de divulgación de información de Visual Studio | Importante |
| Visual Studio | CVE-2025-32702 | Vulnerabilidad de ejecución remota de código en Visual Studio | Importante |
| Código de Visual Studio | CVE-2025-21264 | Vulnerabilidad de omisión de funciones de seguridad de Visual Studio Code | Importante |
| Defensa contra amenazas web (WTD.sys) | CVE-2025-29971 | Vulnerabilidad de denegación de servicio de Web Threat Defense (WTD.sys) | Importante |
| Controlador de funciones auxiliares de Windows para WinSock | CVE-2025-32709 | Controlador de función auxiliar de Windows para vulnerabilidad de elevación de privilegios de WinSock | Importante |
| Controlador del sistema de archivos de registro común de Windows | CVE-2025-32701 | Vulnerabilidad de elevación de privilegios del controlador del sistema de archivos de registro común de Windows | Importante |
| Controlador del sistema de archivos de registro común de Windows | CVE-2025-30385 | Vulnerabilidad de elevación de privilegios del controlador del sistema de archivos de registro común de Windows | Importante |
| Controlador del sistema de archivos de registro común de Windows | CVE-2025-32706 | Vulnerabilidad de elevación de privilegios del controlador del sistema de archivos de registro común de Windows | Importante |
| Servicios de implementación de Windows | CVE-2025-29957 | Vulnerabilidad de denegación de servicio de los Servicios de implementación de Windows | Importante |
| Controladores de Windows | CVE-2025-29838 | Vulnerabilidad de elevación de privilegios del controlador ExecutionContext de Windows | Importante |
| DWM de Windows | CVE-2025-30400 | Vulnerabilidad de elevación de privilegios en la biblioteca principal DWM de Microsoft | Importante |
| Servidor de archivos de Windows | CVE-2025-29839 | Vulnerabilidad de divulgación de información del controlador del proveedor UNC múltiple de Windows | Importante |
| Fundamentos de Windows | CVE-2025-29969 | Vulnerabilidad de ejecución remota de código RPC en MS-EVEN | Importante |
| Kit de laboratorio de hardware de Windows | CVE-2025-27488 | Vulnerabilidad de elevación de privilegios del Kit de laboratorio de hardware (HLK) de Microsoft Windows | Importante |
| Instalador de Windows | CVE-2025-29837 | Vulnerabilidad de divulgación de información de Windows Installer | Importante |
| Núcleo de Windows | CVE-2025-24063 | Vulnerabilidad de elevación de privilegios del controlador del servicio de transmisión del núcleo | Importante |
| Núcleo de Windows | CVE-2025-29974 | Vulnerabilidad de divulgación de información del kernel de Windows | Importante |
| LDAP de Windows: Protocolo ligero de acceso a directorios | CVE-2025-29954 | Vulnerabilidad de denegación de servicio del Protocolo ligero de acceso a directorios (LDAP) de Windows | Importante |
| Windows Media | CVE-2025-29962 | Vulnerabilidad de ejecución remota de código en Windows Media | Importante |
| Windows Media | CVE-2025-29963 | Vulnerabilidad de ejecución remota de código en Windows Media | Importante |
| Windows Media | CVE-2025-29964 | Vulnerabilidad de ejecución remota de código en Windows Media | Importante |
| Windows Media | CVE-2025-29840 | Vulnerabilidad de ejecución remota de código en Windows Media | Importante |
| Sistema operativo Windows NTFS | CVE-2025-32707 | Vulnerabilidad de elevación de privilegios de NTFS | Importante |
| Escritorio remoto de Windows | CVE-2025-29966 | Vulnerabilidad de ejecución remota de código en el cliente de Escritorio remoto | Crítico |
| Servicio de enrutamiento y acceso remoto de Windows (RRAS) | CVE-2025-29836 | Vulnerabilidad de divulgación de información del Servicio de enrutamiento y acceso remoto de Windows (RRAS) | Importante |
| Servicio de enrutamiento y acceso remoto de Windows (RRAS) | CVE-2025-29959 | Vulnerabilidad de divulgación de información del Servicio de enrutamiento y acceso remoto de Windows (RRAS) | Importante |
| Servicio de enrutamiento y acceso remoto de Windows (RRAS) | CVE-2025-29835 | Vulnerabilidad de divulgación de información del Administrador de conexión de acceso remoto de Windows | Importante |
| Servicio de enrutamiento y acceso remoto de Windows (RRAS) | CVE-2025-29960 | Vulnerabilidad de divulgación de información del Servicio de enrutamiento y acceso remoto de Windows (RRAS) | Importante |
| Servicio de enrutamiento y acceso remoto de Windows (RRAS) | CVE-2025-29832 | Vulnerabilidad de divulgación de información del Servicio de enrutamiento y acceso remoto de Windows (RRAS) | Importante |
| Servicio de enrutamiento y acceso remoto de Windows (RRAS) | CVE-2025-29830 | Vulnerabilidad de divulgación de información del Servicio de enrutamiento y acceso remoto de Windows (RRAS) | Importante |
| Servicio de enrutamiento y acceso remoto de Windows (RRAS) | CVE-2025-29961 | Vulnerabilidad de divulgación de información del Servicio de enrutamiento y acceso remoto de Windows (RRAS) | Importante |
| Servicio de enrutamiento y acceso remoto de Windows (RRAS) | CVE-2025-29958 | Vulnerabilidad de divulgación de información del Servicio de enrutamiento y acceso remoto de Windows (RRAS) | Importante |
| Modo de kernel seguro de Windows | CVE-2025-27468 | Vulnerabilidad de elevación de privilegios del controlador en modo kernel de Windows | Importante |
| SMB de Windows | CVE-2025-29956 | Vulnerabilidad de divulgación de información SMB en Windows | Importante |
| Controlador de interfaz de ejecución de confianza de Windows | CVE-2025-29829 | Vulnerabilidad de divulgación de información del controlador de la interfaz de ejecución segura de Windows | Importante |
| Bus de máquina virtual de Windows | CVE-2025-29833 | Vulnerabilidad de ejecución remota de código en Microsoft Virtual Machine Bus (VMBus) | Crítico |
| Windows Win32K - GRFX | CVE-2025-30388 | Vulnerabilidad de ejecución remota de código en el componente de gráficos de Windows | Importante |
Actualizar cuanto antes. Ya sea que uses Windows en casa, seas desarrollador o administres infraestructura en una empresa, estas actualizaciones deben aplicarse lo antes posible. Especialmente si usas herramientas como Visual Studio, productos de Microsoft 365, Azure, o si tienes usuarios que trabajen en red.