Las actualizaciones se suman a 17 vulnerabilidades que Microsoft abordó en su navegador Edge basado en Chromium desde el lanzamiento de la actualización de Patch Tuesday del mes pasado, una de las cuales es una falla de falsificación específica del navegador (CVE-2025-26643, puntuación CVSS: 5.4).

A continuación se enumeran las seis vulnerabilidades que se han sometido a la explotación activa:

• CVE-2025-24983 (puntuación CVSS: 7.0) – Una vulnerabilidad de Windows Win32 Kernel Subsistema de uso (UAF) que permite a un atacante autorizado elevar los privilegios localmente
• CVE-2025-24984 (puntuación CVSS: 4.6) – Una vulnerabilidad de divulgación de información NTFS de Windows que permite a un atacante con acceso físico a un dispositivo de destino y la capacidad de conectar una unidad USB maliciosa para leer potencialmente porciones de memoria de montón
• CVE-2025-24985 (puntuación CVSS: 7.8) – Una vulnerabilidad de desbordamiento entero en Windows FAT File System Driver que permite a un atacante no autorizado ejecutar código localmente
• CVE-2025-24991 (puntuación CVSS: 5.5) – Una vulnerabilidad de lectura fuera de los límites en Windows NTFS que permite a un atacante autorizado revelar información local
• CVE-2025-24993 (puntuación CVSS: 7.8) – Una vulnerabilidad de desbordamiento de amortiguador basada en montones en Windows NTFS que permite a un atacante no autorizado ejecutar código localmente
• CVE-2025-26633 (puntuación CVSS: 7.0) – Una vulnerabilidad de neutralización incorrecta en Microsoft Management Console que permite a un atacante no autorizado eludir una función de seguridad local

ESET, quien se le atribuye descubrir y reportar CVE-2025-24983, dijo que descubrió por primera vez la hazaña de día cero en la naturaleza en marzo de 2023 y se entregó a través de una puerta trasera llamada PipeMagic en anfitriones comprometidos.

«La vulnerabilidad es un uso sin salida en el conductor de Win32k», señaló la compañía eslovaca. «En un cierto escenario logrado usando la API de WaitForInputIdle, la estructura W32PROCESS se despreueba una vez más de lo que debería, causando UAF. Para alcanzar la vulnerabilidad, hay que ganar una condición de carrera».

PipeMagic, descubierta por primera vez en 2022, es un troyano basado en el plugin que ha apuntado a entidades en Asia y Arabia Saudita, con el malware distribuido en forma de una aplicación falsa OpenAI ChatGPT en campañas finales de 2024.

«Una de las características únicas de PipeMagic es que genera una matriz aleatoria de 16 bytes para crear una tubería llamada en el formato de cuerda «.pipe»… .hex string», reveló Kaspersky en octubre de 2024. Engendra un hilo que crea continuamente esta tubería, lee datos de ella, y luego la destruye. Esta tubería se utiliza para recibir cargas útiles codificadas, señales de parada a través de la interfaz local predeterminada. PipeMagic suele funcionar con múltiples plugins descargados de un servidor de comandos y control (C2), que, en este caso, estaba alojado en Microsoft Azure«.

La Iniciativa Cero Day señaló que CVE-2025-26633 proviene de cómo se manejan los archivos MSC, permitiendo a un atacante evadir las protecciones de reputación de archivos y ejecutar código en el contexto del usuario actual. La actividad ha sido vinculada a una amenaza que el actor rastreado como EncryptHub (alias LARVA-208).

Action1 señaló que los actores de amenaza podrían encadenar las cuatro vulnerabilidades que afectan a los componentes del sistema de archivos de Windows básicos para causar la ejecución remota de código (CVE-2025-24985 y CVE-2025-24993) y la divulgación de información (CVE-2025-24984 y CVE-2025-24991). Los cuatro insectos fueron reportados de forma anónima.

«Específicamente, la hazaña se basa en que el atacante elabore un archivo VHD malicioso y convenza a un usuario de abrir o montar un archivo VHD», dijo Kev Breen, director senior de investigación de amenazas de Immersive. «Los VHD son Discos Roces Virtuales y se asocian típicamente con el almacenamiento del sistema operativo para máquinas virtuales. Aunque están más típicamente asociados con Virtual Machines, hemos visto ejemplos a lo largo de los años en los que los actores de amenazas utilizan archivos VHD o VHDX como parte de campañas de phishing para pasar cargas útiles de malware más allá de las soluciones AV. Dependiendo de la configuración de los sistemas Windows, simplemente hacer doble clic en un archivo VHD podría ser suficiente para montar el contenedor y, por lo tanto, ejecutar cualquier carga útil contenida dentro del archivo malicioso».

Según Satnam Narang, ingeniero investigador senior de Tenable, CVE-2025-26633 es el segundo defecto en MMC que se explota en la naturaleza como un día cero después de CVE-2024-43572 y CVE-2025-24985 es la primera vulnerabilidad en el sistema de archivos FAT Fast de Windows desde marzo de 2022. También es el primero en ser explotado en la naturaleza como un día cero. Como es costumbre, actualmente no se sabe que las vulnerabilidades restantes están siendo explotadas, en qué contexto, y la escala exacta de los ataques. El desarrollo ha impulsado a Estados Unidos. La Agencia de Seguridad de la Ciberseguridad y la Infraestructura (CISA, por sus siglas en inglés) para agregarlos al catálogo de Vulnerabilidades Exploitizadas Conocidas (KEV), que requiere que las agencias federales apliquen las correcciones para el 1 de abril de 2025.