Alertas marzo 2025

Vulnerabilidades críticas en productos Microsoft

12 de marzo de 2025

Desde el CERT del SOC de la Junta de Andalucía les informamos que han sido liberados los parches de seguridad mensuales de Microsoft, <<March 2025 Security Updates>>. Esta actualización incluye cerca de 60 parches, entre los que se encuentran seis vulnerabilidades críticas.

En esta ocasión, desde el CERT nos gustaría destacar las siguientes vulnerabilidades:

  • CVE-2025-24983 (Windows Win32 Kernel Subsystem Elevation of Privilege Vulnerability): Vulnerabilidad de uso después de liberar (use-after-free) en el subsistema del núcleo de Windows Win32 que permite a un atacante autorizado elevar privilegios localmente.
  • CVE-2025-24984 (Windows NTFS Information Disclosure Vulnerability): Vulnerabilidad de divulgación de información en NTFS de Windows que permite a un atacante con acceso físico a un dispositivo objetivo y la capacidad de conectar una unidad USB maliciosa leer potencialmente partes de la memoria heap.
  • CVE-2025-24985 (Windows Fast FAT File System Driver Remote Code Execution Vulnerability): Vulnerabilidad de desbordamiento de entero en el controlador del sistema de archivos Fast FAT de Windows que permite a un atacante no autorizado ejecutar código localmente.
  • CVE-2025-24991 (Windows NTFS Information Disclosure Vulnerability): Vulnerabilidad de lectura fuera de límites en NTFS de Windows que permite a un atacante autorizado divulgar información localmente.
  • CVE-2025-24993 (Windows NTFS Remote Code Execution Vulnerability): Vulnerabilidad de desbordamiento de búfer basado en heap en NTFS de Windows que permite a un atacante no autorizado ejecutar código localmente.
  • CVE-2025-26633 (Microsoft Management Console Security Feature Bypass Vulnerability): Vulnerabilidad de neutralización inadecuada en la Consola de Administración de Microsoft que permite a un atacante no autorizado eludir una característica de seguridad localmente.

Debemos indicarles que estas vulnerabilidades están siendo activamente explotadas por los cibercriminales.

Sistemas afectados:

  • Windows 10
  • Windows 11
  • Windows Server 2008
  • Windows Server 2022

Debido al riesgo potencial que presentan estas vulnerabilidades, desde el CERT se recomienda:

Actualizar los sistemas siguiendo las indicaciones que proporciona el fabricante. Debido a la gran cantidad de vulnerabilidades recomendamos actualizar el sistema completamente, siempre que sea posible.

Pueden encontrar más información en los siguientes enlaces:

Si tuviesen alguna duda al respecto no duden en ponerse en contacto con nuestro equipo.

Vulnerabilidades críticas en productos Microsoft

11 de marzo de 2025

 Desde el CERT del SOC de la Junta de Andalucía les informamos que han sido liberados los parches de seguridad mensuales de Microsoft, <<January 2025 Security Updates>>. Esta actualización incluye más de 159 parches, entre ellos se encuentran 3 vulnerabilidades a destacar.

En esta ocasión, desde el CERT nos gustaría destacar las siguientes vulnerabilidades:

  • CVE-2025-21333: Vulnerabilidad de desbordamiento de búfer basado en montón de VSP de integración del kernel de Microsoft Windows Hyper-V NT.
  • CVE-2025-21334 y CVE-2025-21335: Vulnerabilidad de elevación de privilegios en la integración del kernel de Windows Hyper-V NT VSP que permitiría a un atacante obtener privilegios de SISTEMA.

Debemos indicarles que estas vulnerabilidades está siendo activamente explotada por los cibercriminales.

Sistemas afectados:

  • .NET
  • .NET and Visual Studio
  • .NET, .NET Framework, Visual Studio
  • Active Directory Domain Services
  • Active Directory Federation Services
  • Azure Marketplace SaaS Resources
  • BranchCache
  • Internet Explorer
  • IP Helper
  • Line Printer Daemon Service (LPD)
  • Microsoft AutoUpdate (MAU)
  • Microsoft Azure Gateway Manager
  • Microsoft Brokering File System
  • Microsoft Digest Authentication
  • Microsoft Graphics Component
  • Microsoft Office
  • Microsoft Office Access
  • Microsoft Office Excel
  • Microsoft Office OneNote
  • Microsoft Office Outlook
  • Microsoft Office Outlook for Mac
  • Microsoft Office SharePoint
  • Microsoft Office Visio
  • Microsoft Office Word
  • Microsoft Purview
  • Microsoft Windows Search Component
  • Power Automate
  • Reliable Multicast Transport Driver (RMCAST)
  • Visual Studio
  • Windows BitLocker
  • Windows Boot Loader
  • Windows Boot Manager
  • Windows Client-Side Caching (CSC) Service
  • Windows Cloud Files Mini Filter Driver
  • Windows COM
  • Windows Connected Devices Platform Service
  • Windows Cryptographic Services
  • Windows Digital Media
  • Windows Direct Show
  • Windows DWM Core Library
  • Windows Event Tracing
  • Windows Geolocation Service
  • Windows Hello
  • Windows Hyper-V NT Kernel Integration VSP
  • Windows Installer
  • Windows Kerberos
  • Windows Kernel Memory
  • Windows MapUrlToZone
  • Windows Mark of the Web (MOTW)
  • Windows Message Queuing
  • Windows NTLM
  • Windows OLE
  • Windows PrintWorkflowUserSvc
  • Windows Recovery Environment Agent
  • Windows Remote Desktop Services
  • Windows Security Account Manager
  • Windows Smart Card
  • Windows SmartScreen
  • Windows SPNEGO Extended Negotiation
  • Windows Telephony Service
  • Windows Themes
  • Windows UPnP Device Host
  • Windows Virtual Trusted Platform Module
  • Windows Virtualization-Based Security (VBS) Enclave
  • Windows Web Threat Defense User Service
  • Windows Win32K - GRFX
  • Windows WLAN Auto Config Service

Debido al riesgo potencial que presentan estas vulnerabilidades, desde el CERT se recomienda:

Actualizar los sistemas siguiendo las indicaciones que proporciona el fabricante. Debido a la gran cantidad de vulnerabilidades recomendamos actualizar el sistema completamente, siempre que sea posible.

Pueden encontrar más información en los siguientes enlaces:

Si tuviesen alguna duda al respecto no duden en ponerse en contacto con nuestro equipo.

Vulnerabilidad crítica en productos VMware

11 de marzo de 2025

Desde el CERT del SOC de la Junta de Andalucía les informamos de que recientemente se han hecho públicos los detalles de vulnerabilidades críticas en el producto VMware:

  • CVE-2025-22224 (VMCI heap-overflow vulnerability): la vulnerabilidad consiste en que un sistema de gestión de bases de datos presenta una vulnerabilidad TOCTOU que permite una escritura fuera de límites. Un atacante con privilegios administrativos locales puede explotar esta falla para ejecutar código malicioso en el proceso de la base de datos en el servidor.
  • CVE-2025-22225 (VMware ESXi arbitrary write vulnerability): la vulnerabilidad consiste en una escritura arbitraria. Un atacante con privilegios en el proceso de virtualización puede provocar una escritura arbitraria en el núcleo, lo que permite escapar del entorno aislado.
  • CVE-2025-22226 (HGFS information-disclosure vulnerability): la vulnerabilidad consiste en la divulgación de información debido a una lectura fuera de límites en el sistema de archivos virtual. Un atacante con privilegios administrativos en una máquina virtual puede explotar esta falla para filtrar información sensible de la memoria del proceso de virtualización.

Desde AndalucíaCERT debemos indicarles que estas vulnerabilidades están siendo activamente explotadas por los cibercriminales.

Productos afectados:

  • VMware ESXi
  • VMware Workstation
  • VMware Fusion
  • VMware Cloud Foundation
  • VMware Telco Cloud Platform

Debido al riesgo potencial que presenta esta vulnerabilidad, desde el CERT del SOC de la Junta de Andalucía se recomienda:

Actualizar los sistemas siguiendo las indicaciones que proporciona el fabricante. En particular:

  • Para el producto VMware ESXi (rama 7.0), actualizar a la versión ESXi70U3s-24585291.
  • Para el producto VMware ESXi (rama 8.0), actualizar a la versión ESXi80U2d-24585300 o ESXi80U3d-24585383.
  • Para el producto VMware Workstation, actualizar a la versión 17.6.3.
  • Para el producto VMware Fusion, actualizar a la versión 13.6.3.
  • Para el producto VMware Cloud Foundation (version 5.x), actualizar a la versión ESXi80U3d-24585383.
  • Para el producto VMware Cloud Foundation (versión 4.5.x), actualizar a la versión ESXi70U3s-24585291.
  • Para el producto VMware Telco Cloud Platform (versiones 5.x, 4.x, 3.x, 2.x), actualizar a la versión KB389385.
  • Para el producto VMware Telco Cloud Infrastructure (versiones 3.x, 2.x), actualizar a la versión KB389385.

Debido al riesgo potencial que presenta esta vulnerabilidad, desde el CERT se recomienda:

Actualizar los sistemas siguiendo las indicaciones que proporciona el fabricante. Debido a la gran cantidad de vulnerabilidades recomendamos actualizar el sistema completamente, siempre que sea posible.

Pueden encontrar más información en las siguientes referencias:

Si tuviesen alguna duda al respecto no duden en ponerse en contacto con nuestro equipo.

Vulnerabilidades críticas en productos Microsoft

11 de marzo de 2025

Desde el CERT del SOC de la Junta de Andalucía les informamos que han sido liberados los parches de seguridad mensuales de Microsoft, <<February 2025 Security Updates>>. Esta actualización incluye cerca de 60 parches, entre los que se encuentran dos vulnerabilidades críticas.

En esta ocasión, desde el CERT nos gustaría destacar las siguientes vulnerabilidades:

  • CVE-2025-21418 (Windows Ancillary Function Driver for WinSock Elevation of Privilege Vulnerability): vulnerabilidad cuya explotación exitosa permite obtener privilegios de SYSTEM.
  • CVE-2025-21391 (Windows Storage Elevation of Privilege Vulnerability): Esta vulnerabilidad no permite la divulgación de ninguna información confidencial, pero podría permitir a un atacante eliminar datos que podrían incluir datos que provoquen que el servicio no esté disponible.

Debemos indicarles que estas vulnerabilidades están siendo activamente explotadas por los cibercriminales.

Sistemas afectados:

  • Windows 10
  • Windows 11
  • Windows Server 2008
  • Windows Server 2012
  • Windows Server 2016
  • Windows Server 2019
  • Windows Server 2022
  • Windows Server 2025

Debido al riesgo potencial que presentan estas vulnerabilidades, desde el CERT se recomienda:

Actualizar los sistemas siguiendo las indicaciones que proporciona el fabricante. Debido a la gran cantidad de vulnerabilidades recomendamos actualizar el sistema completamente, siempre que sea posible.

Pueden encontrar más información en los siguientes enlaces:

Si tuviesen alguna duda al respecto no duden en ponerse en contacto con nuestro equipo.

Vulnerabilidad crítica en productos Fortinet

11 de marzo de 2025

Desde el CERT del SOC de la Junta de Andalucía les informamos que la empresa Fortinet ha liberado parches de seguridad para corregir una vulnerabilidad crítica que afectaba a algunos de sus productos.

Los detalles de la vulnerabilidad parcheada son:

  • CVE-2024-55591: Vulnerabilidad crítica de bypass de autenticación en FortiOS y FortiProxy (CVSS 9.6).

Debemos indicarles que esta vulnerabilidad está siendo activamente explotada por los cibercriminales.

Sistemas afectados:

  • FortiOS
  • FortiProxy

Debido al riesgo potencial que presentan estas vulnerabilidades, desde el CERT se recomienda:

Actualizar los sistemas siguiendo las indicaciones que proporciona el fabricante. Para ello, deben actualizar sus productos a las siguientes versiones de software o posteriores, dependiendo de la rama del producto que usen:

  • FortiOS 7.0 (Version afectada 7.0.0 a 7.0.16), actualización a 7.0.17 o superior
  • FortiProxy 7.2 (Version afectada 7.2.0 a 7.2.12), actualización a 7.2.13 o superior
  • FortiProxy 7.0 (Version afectada 7.0.0 a 7.0.19), actualización a 7.0.20 o superior

Se recomienda encarecidamente actualizar los equipos afectados a la mayor brevedad posible, empezando por los equipos expuestos a Internet. Si no es posible, se recomienda aplicar la solución temporal propuesta por el fabricante. También se recomienda buscar evidencias de un posible compromiso según indicaciones del fabricante.

Si tuviesen alguna duda al respecto no duden en ponerse en contacto con nuestro equipo.

Pueden encontrar más información en los siguientes enlaces:

Responsable de la información publicada:
Agencia Digital de Andalucía

Para más información puedes ponerte en contacto con nosotros a través de los correos electrónicos gerencia.ada@juntadeandalucia.es o dged.ada@juntadeandalucia.es, o en el teléfono 955061501.

Índice