Alertas

Vulnerabilidades en Microsoft 2025

24 Ene 2025

Vulnerabilidad 24/01

INTRODUCCIÓN:

En enero de 2025, Microsoft solucionó una vulnerabilidad crítica, identificada como CVE-2025-21298, que afectaba a la tecnología Object Linking and Embedding (OLE) en sistemas Windows. Esta vulnerabilidad permite la ejecución remota de código (RCE) sin interacción del usuario, ya que Outlook solo necesita previsualizar un archivo RTF malicioso para que se active el exploit.

Microsoft ha lanzado una actualización de seguridad en enero de 2025 para mitigar este problema. Se recomienda encarecidamente aplicar este parche de inmediato y considerar medidas adicionales, como deshabilitar la previsualización de archivos RTF en Outlook, para proteger los sistemas afectados.

ANÁLISIS:

CVE-2025-21298 CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H - 9.8:

La vulnerabilidad se encuentra en ole32.dll!UtOlePresStmToContentsStm. El propósito de la función es convertir los datos de un flujo «OlePres» dentro de un almacenamiento OLE en datos con el formato adecuado e insertarlos en el flujo «CONTENTS» del mismo almacenamiento. Recibe un puntero IStorage a un objeto de almacenamiento y tres argumentos sin importancia.

El problema está en la variable pstmContents. Inicialmente, se utiliza para almacenar el puntero al objeto stream «CONTENTS» que se crea al principio de la función. El stream es destruido inmediatamente después de ser creado y el puntero almacenado en pstmContents es liberado (lo que lo libera en coml2.dll!ExposedStream::~ExposedStream). Sin embargo, la variable todavía contiene el puntero liberado. A continuación, en la función, la variable puede ser reutilizada para almacenar el puntero al flujo «CONTENTS» de nuevo - debido a esto, hay un código de limpieza al final de la función que libera el puntero en caso de que esté almacenado en la variable. El código no tiene en cuenta el hecho de que UtReadOlePresStmHeader puede fallar - si eso sucede, pstmContents seguirá apuntando hacia el puntero liberado y caeremos en el código de limpieza, que liberará el puntero de nuevo. Por lo tanto, se producirá una situación de doble liberación.

VERSIONES AFECTADAS:

Windows 10 versión 1809 afectado desde la versión 10.0.17763.0 previo a la versión 10.0.17763.6775

Windows Server 2019 afectado desde la versión 10.0.17763.0 previo a la versión 10.0.17763.6775

Windows Server 2022 afectado desde la versión 10.0.20348.0 previo a la versión 10.0.20348.3091

Windows 10 versión 21H2 afectado desde la versión 10.0.19043.0 previo a la versión 10.0.19044.5371

Windows 11 versión 22H2 afectado desde la versión 10.0.22621.0 previo a la versión 10.0.22621.4751

Windows 10 versión 22H2 afectado desde la versión 10.0.19045.0 previo a la versión 10.0.19045.5371

Windows 11 versión 22H3 afectado desde la versión 10.0.22631.0 previo a la versión 10.0.22631.4751

Windows 11 versión 23H2 afectado desde la versión 10.0.22631.0 previo a la versión 10.0.22631.4751

Windows Server 2022, 23H2 Edition (Server Core installation) afectado desde la versión 10.0.25398.0 previo a la versión 10.0.25398.1369

Windows 11 versión 24H2 afectado desde la versión 10.0.26100.0 previo a la versión 10.0.26100.2894

Windows Server 2025 afectado desde la versión 10.0.26100.0 previo a la versión 10.0.26100.2894

Windows 10 versión 1507 afectado desde la versión 10.0.10240.0 previo a la versión 10.0.10240.20890

Windows 10 versión 1607 afectado desde la versión 10.0.14393.0 previo a la versión 10.0.14393.7699

Windows Server 2016 afectado desde la versión 10.0.14393.0 previo a la versión 10.0.14393.7699

Windows Server 2008 Service Pack 2 afectado desde la versión 6.0.6003.0 previo a la versión 6.0.6003.23070

Windows Server 2008 R2 Service Pack 1 afectado desde la versión 6.1.7601.0 previo a la versión 6.1.7601.27520

Windows Server 2012 afectado desde la versión 6.2.9200.0 previo a la versión 6.2.9200.25273

Windows Server 2012 R2 afectado desde la versión 6.3.9600.0 previo a la versión 6.3.9600.22371

RECOMENDACIONES:

La recomendación de Microsoft es instalar las actualizaciones de seguridad. Implemente las actualizaciones de seguridad de enero de 2025 en los sistemas Windows afectados, tanto servidores como clientes.

Como una solución temporal, Microsoft indica que modificar la configuración de Outlook para que muestre los mensajes en texto plano evita esta vulnerabilidad. Restringir o bloquear el manejo de archivos RTF en otras aplicaciones si es posible.

REFERENCIAS:

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-21298
https://www.vulnu.com/p/zero-click-ole-rce-cve-2025-21298-microsoft-outlook-impacted
https://github.com/ynwarcs/CVE-2025-21298

Vulnerabilidad 09/04

Introducción

La vulnerabilidad CVE-2025-29824 es un problema de uso después de la liberación (Use-After-Free) en el driver de Common Log File System (CLFS) de Windows. Este problema permite a un atacante autorizado elevar privilegios locales en el dispositivo. La vulnerabilidad fue identificada por Microsoft y se considera una vulnerabilidad de cero día, ya que fue explotada en la vida real antes de que se publicara un parche.

Análisis

CVE-2025-29824 - CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H/E:F/RL:O/RC:C - 7.8

La vulnerabilidad CVE-2025-29824 existe debido a un problema de uso después de la liberación en el driver de Common Log File System (CLFS) de Windows. Lo que permite a un atacante autorizado elevar privilegios locales en el dispositivo.

Versiones afectadas

Windows 11, versión 24H2

Windows 10, versión 1607

Windows Server 2008

Windows Server 2012

Windows Server 2025

Windows Server 2025 (instalación de servidor de núcleo)

Recomendaciones

Se recomienda que los clientes apliquen el parche lo antes posible. El parche fue lanzado el 8 de abril de 2025 y se puede descargar desde el sitio web de Microsoft.