La compañía solucionó una falla activamente explotada en el kernel de Windows que permitía la elevación de privilegios a nivel de sistema, además de múltiples errores críticos de ejecución remota de código y filtración de información.
Microsoft lanzó este martes las actualizaciones de seguridad correspondientes a su Patch Tuesday de noviembre de 2025, corrigiendo 63 vulnerabilidades, entre ellas una de día cero activamente explotada por actores maliciosos. La compañía confirmó que el error, identificado como CVE-2025-62215, afectaba al Windows Kernel y permitía a atacantes con acceso local escalar privilegios hasta el nivel SYSTEM, comprometiendo completamente el dispositivo.
La falla, descrita por Microsoft como una condición de carrera por sincronización incorrecta en recursos compartidos, fue detectada por el Microsoft Threat Intelligence Center (MSTIC) y el Microsoft Security Response Center (MSRC). “La ejecución concurrente usando un recurso compartido con sincronización inadecuada permite que un atacante autorizado eleve privilegios localmente”, explicó la compañía en su aviso.
En total, el boletín de Microsoft de este mes incluye 29 vulnerabilidades de elevación de privilegios, 16 de ejecución remota de código (RCE), 11 de divulgación de información, 3 de denegación de servicio, 2 de suplantación y 2 de evasión de funciones de seguridad. Cuatro de ellas fueron clasificadas como “críticas”, dos de tipo RCE, una de elevación de privilegios y otra de divulgación de información.
Entre las fallas más graves figura la CVE-2025-60724, un error en la biblioteca GDI+, componente central de Windows encargado del renderizado de gráficos 2D y texto. Según Ben McCarthy, ingeniero principal de ciberseguridad en Immersive, esta vulnerabilidad tiene una puntuación CVSS de 9,8 y “puede activarse simplemente al subir un archivo manipulado a una aplicación web pública”, provocando un desbordamiento de memoria que permite ejecutar código remoto en el servidor. “El parche para este error debería ser la prioridad más alta de cualquier organización”, enfatizó.
Este Patch Tuesday también marcó el inicio del programa de actualizaciones de seguridad extendidas (ESU) para Windows 10, tras el fin oficial de su soporte. No obstante, algunos usuarios experimentaron errores al inscribirse en el programa, lo que obligó a Microsoft a lanzar una actualización fuera de banda (KB5071959) para corregir el fallo. “Después de aplicar esta actualización, los dispositivos deberían poder inscribirse correctamente en el ESU”, señaló la compañía.