Microsoft lanza su primer Patch Tuesday de 2025 corrigiendo 161 vulnerabilidades

Microsoft lanzó su primer Patch Tuesday de 2025, corrigiendo 161 vulnerabilidades, incluidas tres críticas de día cero que están siendo explotadas activamente.

Este martes, Microsoft lanzó su primer Patch Tuesday de 2025, en un evento marcado por la corrección de 161 vulnerabilidades en diversos productos. Entre estas, destacan tres vulnerabilidades de día cero que han sido activamente explotadas en el entorno. Estas vulnerabilidades, registradas como CVE-2025-21333, CVE-2025-21334 y CVE-2025-21335, tienen un puntaje de severidad de 7.8, lo que las clasifica como graves.

Según el aviso emitido por Microsoft, un atacante que logre explotar estas fallas podría obtener privilegios de SYSTEM en el núcleo de integración NT de Windows Hyper-V. A pesar de que no se han dado detalles específicos sobre los actores de amenazas o las víctimas, se considera que estas vulnerabilidades son de escalamiento de privilegios. Esto implica que, muy probablemente, sean utilizadas como parte de actividades posteriores a una posible brecha, donde el atacante ya ha logrado acceder al sistema objetivo por otros medios.

La Agencia de Ciberseguridad e Infraestructura (CISA) ha incluido estas vulnerabilidades en su catálogo de vulnerabilidades explotadas conocidas (KEV), instando a los usuarios a aplicar el parche inmediatamente. La CISA ha establecido una fecha límite del 4 de febrero para que las agencias federales implementen la actualización.

Aparte de estas tres fallas críticas, Microsoft también ha abordado otros 11 errores de severidad crítica y 149 vulnerabilidades clasificadas como importantes. De acuerdo con Zero Day Initiative, este ha sido el mayor Patch Tuesday desde 2017. Además, en un parche separado, Microsoft también corrigió siete vulnerabilidades en su navegador Edge.