Este mes llega sin exploits activos conocidos, pero con fallas críticas que requieren atención inmediata
Por primera vez en casi un año, el martes de actualizaciones de seguridad de Microsoft no incluyó correcciones para vulnerabilidades que estén siendo explotadas activamente. Sin embargo, el boletín de este mes corrige un total de 137 fallos de seguridad, entre los que se encuentra una vulnerabilidad de día cero en Microsoft SQL Server, ya divulgada públicamente.
El desglose de las fallas abarca múltiples categorías:
53 fallos de elevación de privilegios
41 vulnerabilidades de ejecución remota de código (RCE)
18 de divulgación de información
8 derivaciones de características de seguridad
6 denegaciones de servicio (DoS)
4 casos de suplantación
Entre todas, 14 se clasifican como críticas , siendo 10 de ellas RCE. Cabe destacar que esta cifra no contempla vulnerabilidades en productos no directamente mantenidos por Microsoft, como Edge basado en Chromium, Visual Studio o tecnologías de terceros como AMD.
Para información adicional sobre actualizaciones no relacionadas con la seguridad, los detalles están disponibles en los artículos correspondientes a las actualizaciones acumulativas: Windows 11 (KB5062553 y KB5062552) y Windows 10 (KB5062554).
NEGOEX: la amenaza crítica del mes
Una de las vulnerabilidades más severas corregidas este mes afecta al componente SPNEGO Extended Negotiation (NEGOEX). Identificada como CVE-2025-47981, posee una puntuación CVSS de 9.8, lo que refleja su alto riesgo. El fallo permite la ejecución remota de código simplemente mediante el envío de un mensaje malicioso a un servidor vulnerable.
Microsoft ha confirmado que esta vulnerabilidad impacta a sistemas con Windows 10 versión 1607 o posteriores, específicamente cuando se encuentra habilitado por defecto el parámetro de GPO: Seguridad de red: “Permitir que las solicitudes de autenticación PKU2U a este equipo utilicen identidades en línea”.
Benjamin Harris, CEO de watchTowr, advirtió que este tipo de vulnerabilidad tiene el potencial de comportarse como un gusano, facilitando su propagación automática en redes, como ocurrió en el famoso caso de WannaCry.
El propio gigante tecnológico anticipa que su explotación es altamente probable y subraya que no se requiere autenticación previa, solo acceso a la red. Esto convierte su mitigación en una prioridad crítica.
Otras vulnerabilidades relevantes
Entre los errores corregidos también se encuentran vulnerabilidades críticas en otros componentes clave del sistema operativo:
CVE-2025-49735 (CVSS 8.1): Afecta al servicio KDC Proxy de Windows.
CVE-2025-48822 (CVSS 8.6): Impacta a Windows Hyper-V.
CVE-2025-49695, CVE-2025-49696 y CVE-2025-49697 (CVSS 8.4): Afectan a Microsoft Office.
Sobre CVE-2025-49735, Ben McCarthy, ingeniero jefe de seguridad en Immersive, señaló que su mayor peligrosidad radica en que no requiere privilegios ni interacción del usuario, lo que la convierte en una amenaza especialmente atractiva para grupos APT y actores estatales. Aunque su explotación depende de una condición de carrera —es decir, una vulnerabilidad de sincronización en la asignación de memoria—, técnicas como la limpieza de pila podrían facilitar su aprovechamiento.
BitLocker bajo la lupa
Las actualizaciones también corrigen **cinco errores de seguridad en BitLocker (CVE-2025-48001, CVE-2025-48003, CVE-2025-48800, CVE-2025-48804 y CVE-2025-48818), todos con puntuación CVSS 6.8. Estas fallas permitirían a un atacante con acceso físico al dispositivo exponer datos cifrados si logra cargar un archivo WinRE.wim mientras el volumen del sistema operativo se encuentra desbloqueado.
Microsoft detalló, en particular sobre CVE-2025-48804, que esta manipulación podría brindar acceso no autorizado a información protegida por BitLocker.
Fin de soporte para SQL Server 2012 y nueva vulnerabilidad expuesta
El 8 de julio de 2025 también marca el fin del soporte oficial para SQL Server 2012, lo que significa que ya no recibirá más actualizaciones de seguridad.
Además, se ha revelado una vulnerabilidad en versiones más recientes de SQL Server, catalogada como CVE-2025-49719 (CVSS 7.5). Esta falla de divulgación de información puede permitir a un atacante externo acceder a fragmentos de memoria no inicializada del servidor SQL.
Según Microsoft, el problema se debe a una validación de entrada insuficiente, lo que puede resultar en la exposición de datos en memoria. La recomendación es actualizar el servidor a la última versión disponible y utilizar los controladores Microsoft OLE DB 18 o 19.
Adam Barnett, ingeniero principal en Rapid7, advirtió que, aunque inicialmente los datos expuestos podrían parecer triviales, la persistencia o un enfoque meticuloso podrían permitir acceder a información sensible como claves criptográficas.
Por su parte, Mike Walters, presidente de Action1, indicó que tanto el motor de SQL Server como las aplicaciones que dependen de los controladores OLE DB podrían verse afectadas. La vulnerabilidad podría facilitar el acceso a datos residuales en la memoria, incluidas credenciales y cadenas de conexión.
Conclusión
Aunque esta ronda de parches de Microsoft no aborda vulnerabilidades que estén siendo aprovechadas activamente, varias de las fallas corregidas presentan riesgos elevados y una probabilidad significativa de explotación futura. Las organizaciones deben priorizar la aplicación inmediata de los parches, especialmente en entornos con exposición a red o que dependen de servicios afectados como SQL Server, BitLocker, Office o Hyper-V
Parches de software de otros proveedores
Además de Microsoft, otros proveedores también han publicado actualizaciones de seguridad en las últimas dos semanas para corregir varias vulnerabilidades, entre ellas:
- Adobe
- AMD
- Atlassian
- Bitdefender
- Broadcom (incluye VMware)
- Cisco
- Citrix
- D-Link
- Dell
- Drupal
- F5
- Fortinet
- Fortra
- Gigabyte
- GitLab
- Google Chrome
- Google Cloud
- Grafana
- Hikvision
- Hitachi Energy
- HP
- HP Enterprise (incluye Aruba Networking)
- IBM
- Intel
- Ivanti
- Jenkins
- Juniper Networks
- Lenovo
- Linux: AlmaLinux, Alpine Linux, Amazon Linux, Arch Linux, Debian, Gentoo, Oracle Linux, Mageia, Red Hat, Rocky Linux,SUSE, y Ubuntu
- MediaTek
- Mitsubishi Electric
- MongoDB
- Moxa
- Mozilla Thunderbird
- NVIDIA
- OPPO
- Palo Alto Networks
- Progress Software
- Qualcomm
- Ricoh
- Ruckus Wireless
- Samsung
- SAP
- Schneider Electric
- Siemens
- Splunk
- Supermicro
- Veeam
- WordPress
- Zimbra
- Zoom
Fuente: Segu-Info