Vulnerabilidades en Microsoft 2025
Vulnerabilidad 24/01
INTRODUCCIÓN:
En enero de 2025, Microsoft solucionó una vulnerabilidad crítica, identificada como CVE-2025-21298, que afectaba a la tecnología Object Linking and Embedding (OLE) en sistemas Windows. Esta vulnerabilidad permite la ejecución remota de código (RCE) sin interacción del usuario, ya que Outlook solo necesita previsualizar un archivo RTF malicioso para que se active el exploit.
Microsoft ha lanzado una actualización de seguridad en enero de 2025 para mitigar este problema. Se recomienda encarecidamente aplicar este parche de inmediato y considerar medidas adicionales, como deshabilitar la previsualización de archivos RTF en Outlook, para proteger los sistemas afectados.
ANÁLISIS:
CVE-2025-21298 CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H - 9.8:
La vulnerabilidad se encuentra en ole32.dll!UtOlePresStmToContentsStm. El propósito de la función es convertir los datos de un flujo «OlePres» dentro de un almacenamiento OLE en datos con el formato adecuado e insertarlos en el flujo «CONTENTS» del mismo almacenamiento. Recibe un puntero IStorage a un objeto de almacenamiento y tres argumentos sin importancia.
El problema está en la variable pstmContents. Inicialmente, se utiliza para almacenar el puntero al objeto stream «CONTENTS» que se crea al principio de la función. El stream es destruido inmediatamente después de ser creado y el puntero almacenado en pstmContents es liberado (lo que lo libera en coml2.dll!ExposedStream::~ExposedStream). Sin embargo, la variable todavía contiene el puntero liberado. A continuación, en la función, la variable puede ser reutilizada para almacenar el puntero al flujo «CONTENTS» de nuevo - debido a esto, hay un código de limpieza al final de la función que libera el puntero en caso de que esté almacenado en la variable. El código no tiene en cuenta el hecho de que UtReadOlePresStmHeader puede fallar - si eso sucede, pstmContents seguirá apuntando hacia el puntero liberado y caeremos en el código de limpieza, que liberará el puntero de nuevo. Por lo tanto, se producirá una situación de doble liberación.
VERSIONES AFECTADAS:
Windows 10 versión 1809 afectado desde la versión 10.0.17763.0 previo a la versión 10.0.17763.6775
Windows Server 2019 afectado desde la versión 10.0.17763.0 previo a la versión 10.0.17763.6775
Windows Server 2022 afectado desde la versión 10.0.20348.0 previo a la versión 10.0.20348.3091
Windows 10 versión 21H2 afectado desde la versión 10.0.19043.0 previo a la versión 10.0.19044.5371
Windows 11 versión 22H2 afectado desde la versión 10.0.22621.0 previo a la versión 10.0.22621.4751
Windows 10 versión 22H2 afectado desde la versión 10.0.19045.0 previo a la versión 10.0.19045.5371
Windows 11 versión 22H3 afectado desde la versión 10.0.22631.0 previo a la versión 10.0.22631.4751
Windows 11 versión 23H2 afectado desde la versión 10.0.22631.0 previo a la versión 10.0.22631.4751
Windows Server 2022, 23H2 Edition (Server Core installation) afectado desde la versión 10.0.25398.0 previo a la versión 10.0.25398.1369
Windows 11 versión 24H2 afectado desde la versión 10.0.26100.0 previo a la versión 10.0.26100.2894
Windows Server 2025 afectado desde la versión 10.0.26100.0 previo a la versión 10.0.26100.2894
Windows 10 versión 1507 afectado desde la versión 10.0.10240.0 previo a la versión 10.0.10240.20890
Windows 10 versión 1607 afectado desde la versión 10.0.14393.0 previo a la versión 10.0.14393.7699
Windows Server 2016 afectado desde la versión 10.0.14393.0 previo a la versión 10.0.14393.7699
Windows Server 2008 Service Pack 2 afectado desde la versión 6.0.6003.0 previo a la versión 6.0.6003.23070
Windows Server 2008 Service Pack 2 afectado desde la versión 6.0.6003.0 previo a la versión 6.0.6003.23070
Windows Server 2008 R2 Service Pack 1 afectado desde la versión 6.1.7601.0 previo a la versión 6.1.7601.27520
Windows Server 2012 afectado desde la versión 6.2.9200.0 previo a la versión 6.2.9200.25273
Windows Server 2012 R2 afectado desde la versión 6.3.9600.0 previo a la versión 6.3.9600.22371
RECOMENDACIONES:
La recomendación de Microsoft es instalar las actualizaciones de seguridad. Implemente las actualizaciones de seguridad de enero de 2025 en los sistemas Windows afectados, tanto servidores como clientes.
Como una solución temporal, Microsoft indica que modificar la configuración de Outlook para que muestre los mensajes en texto plano evita esta vulnerabilidad. Restringir o bloquear el manejo de archivos RTF en otras aplicaciones si es posible.
REFERENCIAS:
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-21298
https://www.vulnu.com/p/zero-click-ole-rce-cve-2025-21298-microsoft-outlook-impacted
https://github.com/ynwarcs/CVE-2025-21298
Vulnerabilidad 09/04
Introducción
La vulnerabilidad CVE-2025-29824 es un problema de uso después de la liberación (Use-After-Free) en el driver de Common Log File System (CLFS) de Windows. Este problema permite a un atacante autorizado elevar privilegios locales en el dispositivo. La vulnerabilidad fue identificada por Microsoft y se considera una vulnerabilidad de cero día, ya que fue explotada en la vida real antes de que se publicara un parche.
Análisis
CVE-2025-29824 - CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H/E:F/RL:O/RC:C - 7.8
La vulnerabilidad CVE-2025-29824 existe debido a un problema de uso después de la liberación en el driver de Common Log File System (CLFS) de Windows. Lo que permite a un atacante autorizado elevar privilegios locales en el dispositivo.
Versiones afectadas
- Windows 11, versión 24H2
- Windows 10, versión 1607
- Windows Server 2008
- Windows Server 2012
- Windows Server 2025
- Windows Server 2025 (instalación de servidor de núcleo)
Recomendaciones
Se recomienda que los clientes apliquen el parche lo antes posible. El parche fue lanzado el 8 de abril de 2025 y se puede descargar desde el sitio web de Microsoft.
Referencias
- https://cve.org/cverecing?id=cve-2025-29824
- https://msrc.microsoft.com/update-guide/vulneability/CVE-2025-29824