Patch Tuesday de Microsoft: Más de 100 Actualizaciones Críticas y Azure OpenAI

El Patch Tuesday de Microsoft de agosto de 2025 ha entregado una ola significativa de actualizaciones de seguridad, abordando más de 100 vulnerabilidades en su vasto ecosistema de software y subrayando la naturaleza implacable de las ciberamenazas. La publicación de este mes, que comprende entre 107 y 111 correcciones, incluye una falla crítica de corrupción de memoria de “riesgo extremadamente alto” en su componente de gráficos de Windows, junto con una vulnerabilidad de día cero divulgada públicamente y numerosos otros problemas graves que exigen atención inmediata tanto de usuarios como de organizaciones.

El descubrimiento más alarmante es CVE-2025-50165, una vulnerabilidad de ejecución remota de código (RCE) que reside dentro del componente de gráficos de Windows. Calificada con una puntuación CVSS crítica de 9.8, esta falla es un tipo de corrupción de memoria donde un atacante podría ejecutar código malicioso a través de una red sin requerir interacción del usuario. El peligro se intensifica ya que la explotación puede ocurrir simplemente al visualizar una imagen JPEG especialmente diseñada incrustada en documentos de Office u otros archivos de terceros. Tales vulnerabilidades son particularmente insidiosas porque pueden activarse sin que la víctima se dé cuenta de que ha abierto un archivo comprometido, lo que podría llevar a una toma de control total del sistema.

Más allá del componente de gráficos, Microsoft también parcheó CVE-2025-53766, otra falla crítica de RCE en la Interfaz de Dispositivos Gráficos de Windows (GDI+), que también cuenta con una puntuación CVSS de 9.8. Este desbordamiento de búfer basado en pila también puede ser explotado remotamente sin interacción del usuario, por ejemplo, a través del procesamiento de documentos en servicios web.

Entre las 13 a 16 vulnerabilidades críticas abordadas, destaca una notable vulnerabilidad de día cero divulgada públicamente, CVE-2025-53779. Esta falla de escalada de privilegios (EoP), con nombre en clave “BadSuccessor” por los investigadores, afecta a Windows Kerberos, el protocolo de autenticación de red. Aunque su puntuación CVSS es de 7.2 y la explotación se considera “menos probable” debido a que requiere un acceso preexistente específico a atributos de la Cuenta de Servicio Administrada delegada (dMSA), su divulgación pública la convierte en una preocupación significativa. Una explotación exitosa podría otorgar a un atacante privilegios de administrador de dominio, lo que representa un riesgo grave para los entornos de Active Directory.

Otros parches críticos incluyen CVE-2025-53786, una vulnerabilidad de escalada de privilegios en implementaciones híbridas de Microsoft Exchange Server. Esta falla, con una puntuación CVSS de 8.0, podría permitir a un atacante pivotar desde un servidor Exchange local comprometido para escalar privilegios dentro del entorno de nube conectado de la organización, incluyendo Exchange Online y otros servicios de Microsoft 365. Abordar esta vulnerabilidad particular requiere más que solo instalar el parche; también se deben seguir las instrucciones manuales específicas de Microsoft para configurar un servicio dedicado para asegurar la conexión híbrida.

Otras vulnerabilidades significativas parcheadas este mes incluyen fallas críticas de ejecución remota de código en Microsoft Office (CVE-2025-53731, CVE-2025-53740) que provienen de problemas de corrupción de memoria de uso después de la liberación, lo que podría llevar a la ejecución de código local sin interacción del usuario, con el Panel de vista previa sirviendo como un posible vector de ataque. También se abordaron una vulnerabilidad crítica de ejecución remota de código en SharePoint (CVE-2025-49712) y una escalada de privilegios crítica en Windows NTLM (CVE-2025-53778), que permite a atacantes con bajos privilegios obtener acceso a nivel de SISTEMA. Incluso Microsoft Teams recibió una corrección crítica de RCE (CVE-2025-53783), un desbordamiento de búfer basado en pila que, aunque complejo de explotar y requiriendo interacción del usuario, podría permitir a un atacante leer, escribir y eliminar mensajes y datos del usuario.

Además de estas actualizaciones del sistema central, Microsoft también lanzó actualizaciones de seguridad para Azure OpenAI Service. Es importante tener en cuenta que muchos de los CVE relacionados con servicios en la nube que afectan a Azure OpenAI, Azure Portal y Microsoft 365 Copilot BizChat ya han sido remediados por Microsoft en el lado del servicio, lo que significa que normalmente no se requiere una acción directa del cliente para estas correcciones específicas. Esta atención continua a los servicios relacionados con la IA destaca el panorama de seguridad en evolución a medida que las capacidades de inteligencia artificial, incluidos los nuevos modelos GPT-5, la generación de imágenes (GPT-image-1) y la generación de videos (Sora), continúan integrándose en entornos empresariales.

El gran volumen y la naturaleza crítica de las vulnerabilidades parcheadas este agosto sirven como un duro recordatorio de las amenazas persistentes que enfrenta la infraestructura digital. Se insta encarecidamente a los administradores de sistemas y a los usuarios individuales a aplicar estas actualizaciones sin demora para proteger sus sistemas de posibles explotaciones y salvaguardar los datos confidenciales. Priorizar estos parches no es simplemente una recomendación, sino un paso crucial para mantener una postura de seguridad robusta en el mundo interconectado de hoy.