Microsoft corrige dos errores explotados activamente que elevan privilegios en el almacenamiento y sistema de Windows

MADRID, 12 (Portaltic/EP)
Microsoft ha corregido dos vulnerabilidades de día cero que se han identificado como explotadas activamente y que permiten a los actores maliciosos elevar privilegios en el almacenamiento de Windows, así como en el controlador de funciones auxiliares de Windows para WinSock.

La tecnológica ha lanzado su última actualización de parches de seguridad de febrero, que ofrece correcciones para diversas vulnerabilidades, entre las que se incluyen cuatro fallos de día cero, dos de ellos explotados activamente.

En concreto, según ha detallado Microsoft en su guía de actualizaciones de seguridad, una de las vulnerabilidades de día cero explotadas activamente se basa en un fallo que permitía a actores maliciosos elevar privilegios en el almacenamiento de Windows, de manera que podían eliminar archivos específicos del sistema.

Según ha explicado, aunque esta vulnerabilidad (CVE-2025-21391) "no permite la divulgación de ninguna información confidencial", podría conllevar a que el atacante eliminase datos que provoquen que algún servicio no esté disponible.

Siguiendo esta línea, la segunda vulnerabilidad de día cero explotada activamente que ha corregido Microsoft es la CVE-2025-21418, que se basa en un fallo de elevación de privilegios en el controlador de funciones auxiliares de Windows para la aplicación WinSock.

WinSock es una interfaz de programación de aplicaciones (API) relacionada con los servicios de red de Windows, que permite a servicios como navegadores o gestores de correo electrónico comunicarse utilizando el protocolo TCP/IP.

En este sentido, Microsoft ha señalado que la vulnerabilidad hallada en esta aplicación permitía a ciberdelincuentes obtener privilegios de sistema en Windows. No obstante, no ha detallado cómo ha sido utilizada en los ataques maliciosos.

VULNERABILIDADES DE DÍA CERO CORREGIDAS
Por otra parte, de entre las vulnerabilidades de día cero halladas, Microsoft también ha corregido un fallo que permitía la omisión de funciones de seguridad de Microsoft Surface (CVE-2025-21194).

Concretamente, este error proviene del hipervisor, el 'software' que se utiliza para ejecutar máquinas virtuales en una única máquina física. Así, está relacionado con las máquinas virtuales dentro de un equipo 'host' con interfaz de 'firmware' extensible unificada (UEFI), y puede permitir eludir la UEFI para vulnerar el hipervisor y el kernel, evitando funciones de seguridad de Surface.

A pesar de todo ello, se trata de una vulnerabilidad de complejidad alta, por lo que es necesario cumplir múltiples condiciones para que los actores maliciosos puedan explotarla, relacionadas con el comportamiento de la aplicación, el acceso a la red restringida e, incluso, las acciones de los usuarios.

Finalmente, la tecnológica ha corregido un error que expone los 'hashes' NTLM de los usuarios en Windows (CVE-2025-21377). Esto es, un conjunto de protocolos de seguridad destinados a proporcionar autenticación y confidencialidad a las contraseñas de los usuarios. Por tanto, la exposición de los 'hashes' NTLM puede permitir que un actor malicioso robe la contraseña e inicie sesión en servicios suplantando la identidad del usuario.

Según ha explicado la compañía, se trata de un fallo peligroso ya que solo "una interacción mínima" por parte del usuario con un archivo malicioso puede desencadenar la vulnerabilidad, ya sea seleccionando el archivo con un solo clic, inspeccionarlo con clic derecho o cualquier acción distinta a abrir o ejecutar el archivo.

Así, al explotar este fallo, los actores maliciosos podrían obtener acceso a los 'hash' NTLM del usuario que se envían al servidor remoto y, por tanto, utilizarlos para obtener la contraseña en texto simple e iniciar sesión en el servicio en cuestión.

Con todo ello, Microsoft ha recomendado instalar su última actualización para Windows 11 (KB5051987), de cara a corregir estos fallos y evitar posibles ataques maliciosos.