Author: Seguridad CSIRT-CV

Microsoft ha publicat la seua actualització de seguretat mensual per a juny de 2025, que inclou 66 vulnerabilitats que afecten una varietat de productes, incloent-hi una vulnerabilitat de dia zero activament explotada.

Anàlisi

En la versió d’este mes, Microsoft no ha observat cap explotació activa de les vulnerabilitats incloses.
De les onze entrades “crítiques”, nou són vulnerabilitats d’execució remota de codi (RCE) en servicis i aplicacions de Microsoft Windows, com el Servici d’Escriptori Remot de Microsoft Windows, Windows Schannel (Canal Segur), el servici proxy KDC, Microsoft Office, Word i SharePoint Server. Hi ha dos vulnerabilitats d’elevació de privilegis que afecten Windows NetLogon i Power Automate.

Entre les fallades corregides es destaquen:

CVE-2025-33053 – Vulnerabilitat d’execució remota de codi en WebDAV: una vulnerabilitat en el component WebDAV de Windows que permet a un atacant executar codi de manera remota si s’explota correctament. Esta vulnerabilitat ja estava sent utilitzada en atacs abans de la publicació del pegat, la qual cosa la classifica com una vulnerabilitat de dia zero.

CVE-2025-47966 – Exposició d’informació en Power automat: una vulnerabilitat que permet a un atacant no autoritzat accedir a informació sensible en Power automat, la qual cosa podria conduir a una escalada de privilegis.

Múltiples vulnerabilitats en Microsoft Office: Es van corregir 17 vulnerabilitats en Microsoft Office i productes relacionats, incloent 4 que Microsoft considera més propenses a ser explotades.

A més d’estes, es van corregir vulnerabilitats en altres productes com Microsoft Edge, .NET, i components de Windows.

Recursos afectats

Les actualitzacions cobrixen fallades, entre altres en:

• • • Microsoft Windows 10, 11 y Server
    • Microsoft Office y Microsoft 365 Apps
    • Microsoft Edge
    • Power Automate
    • .NET Framework
    • Windows WebDAV
    • Windows Remote Desktop
    • Windows Kernel
    • Microsoft Defender

Poden consultar el llistat complet de productes afectats i les vulnerabilitats en el butlletí oficial de Microsoft: June 2025 Security Updates

Recomanacions

• • Instal·lar l’actualització de seguretat corresponent. En la pàgina de Microsoft s’informa dels diferents mètodes per a dur a terme estes actualitzacions.

Referències

• • https://www.bleepingcomputer.com/news/microsoft/microsoft-june-2025-patch-tuesday-fixes-exploited-zero-day-66-flaws
  • https://blog.talosintelligence.com/microsoft-patch-tuesday-june-2025
  • https://cyberscoop.com/microsoft-patch-tuesday-june-2025
  • https://www.securityweek.com/microsoft-patch-tuesday-covers-webdav-flaw-marked-as-already-exploited
  • https://hackread.com/june-2025-patch-tuesday-microsoft-bugs-active-0-day
  • https://www.incibe.es/incibe-cert/alerta-temprana/avisos/actualizaciones-de-seguridad-de-microsoft-de-junio-de-2025
  • https://msrc.microsoft.com/update-guide

Un model avançat d’intel·ligència artificial ha descobert una vulnerabilitat crítica de tipus zero-day en el nucli de Linux, identificada com CVE-2025-37899, que afecta la implementació del protocol Server Message Block (SMB) dins del mòdul ksmbd del nucli. Així ho ha publicat el mitjà de comunicació BankInfoSecurity.

La vulnerabilitat consisteix en un error de tipus use-after-free en el tractament de la instrucció ‘logoff’ del protocol SMB, que podria permetre a un atacant remot executar codi arbitrari amb privilegis de nucli. Aquest tipus d’error es produeix quan una àrea de memòria és alliberada però continua accessible, cosa que pot ser explotada per modificar el comportament del sistema o injectar codi maliciós.

El descobriment ha sigut possible gràcies a la investigació de l’expert Sean Heelan, qui va utilitzar el model d’IA de frontera o3, desenvolupat per OpenAI, per analitzar unes 12.000 línies de codi font del mòdul afectat. La intel·ligència artificial va ser capaç de raonar sobre rutes d’execució complexes i detectar l’error sense instruccions específiques, demostrant així el potencial d’aquestes tecnologies per a identificar vulnerabilitats sofisticades.

Aquest descobriment suposa un punt d’inflexió en l’ús de la IA per a la seguretat informàtica, ja que representa una de les primeres ocasions en què un model de llenguatge de frontera contribueix directament a la identificació d’una vulnerabilitat crítica en programari de codi obert.

Tot i que la intel·ligència artificial no substitueix el criteri humà, sí que s’ha revelat com una eina valuosa per a millorar l’eficiència i la precisió en els processos d’auditoria de codi i detecció de fallades. Per això, es recomana als administradors de sistemes Linux aplicar al més prompte possible les actualitzacions de seguretat disponibles per a mitigar qualsevol risc.

L’incident posa en relleu la necessitat creixent d’integrar eines d’intel·ligència artificial en la ciberseguretat, no sols com a ajuda reactiva, sinó també com a recurs proactiu per a anticipar-se a amenaces futures.

Referències

• https://www.bankinfosecurity.com/linux-zero-day-vulnerability-discovered-using-frontier-ai-a-28559
• https://sean.heelan.io/2025/05/22/how-i-used-o3-to-find-cve-2025-37899-a-remote-zeroday-vulnerability-in-the-linux-kernels-smb-implementation/
• https://thecyberexpress.com/cve-2025-37899-zero-day-in-linux-smb-kernel/

El 28 de maig de 2025, Google i Mozilla van anunciar noves actualitzacions de seguretat per als seus navegadors Chrome i Firefox. Estes actualitzacions, corresponents a Chrome 137 i Firefox 139, corregixen un total de 21 vulnerabilitats, tres d’estes classificades com a alta gravetat. Encara que no s’ha informat que estes fallades estiguen sent explotades activament, es recomana aplicar les actualitzacions de manera immediata.

Anàlisi

Les actualitzacions publicades per Google i Mozilla aborden diverses vulnerabilitats crítiques que podrien permetre a un atacant executar codi arbitrari, causar bloquejos o comprometre la seguretat del sistema si es combinen amb altres fallades.

En Chrome 137, es corregixen 11 fallades de seguretat, de les quals huit van ser reportades per investigadors externs. Dos d’estes són considerades d’alta severitat:

• • CVE-2025-5063: fallada use-after-free en Compositing.
  • CVE-2025-5280: escriptura fora de límits en el motor JavaScript V8.

Estes fallades poden derivar en l’execució de codi arbitrari o una fugida de l’entorn controlat de proves si s’exploten juntament amb altres errors del sistema. A més, es van solucionar cinc fallades de severitat mitjana en components com Background Fetch API, FileSystemAccess API, Messages, BFCache i libvpx, i un de baixa severitat en Tab Strip.

En Firefox 139, es van solucionar 10 vulnerabilitats, incloent-hi un error double-free d’alta severitat a la biblioteca libvpx, que podria generar corrupció de memòria i una fallada explotable. També es van resoldre sis fallades de severitat mitjana relacionades amb atacs de fuita entre orígens (cross-origin), execució de codi local, XS-Leaks i corrupció de memòria.

Mozilla també va publicar actualitzacions per a les versions de suport estés (ESR) i Thunderbird:

• • Firefox ESR 128.11: corregix huit d’estes vulnerabilitats.
  • Firefox ESR 115.24: corregix quatre fallades.
  • Thunderbird 139: inclou pegats per a les deu vulnerabilitats.
  • Thunderbird 128.11: en soluciona huit.

Recursos afectats

• • Google Chrome, versions inferiors a 137.0.7151.55/56 (Windows/macOS) i 137.0.7151.55 (Linux)
  • Mozilla Firefox, versions inferiors a 139
  • Mozilla Thunderbird, versions inferiors a 139

Recomanacions

Actualitzar Chrome a la versió 137.0.7151.55/56.
Actualitzar Firefox a la versió 139 o a les versions ESR corresponents.
Actualitzar Mozilla Thunderbird a l’última versió disponible.

Referències

https://www.securityweek.com/chrome-137-firefox-139-patch-high-severity-vulnerabilities

https://www.securityweek.com/chrome-136-update-patches-vulnerability-with-exploit-in-the-wild/

https://www.securityweek.com/chrome-136-firefox-138-patch-high-severity-vulnerabilities

https://www.securityweek.com/chrome-135-firefox-137-updates-patch-severe-vulnerabilities/

Una vulnerabilitat recentment descoberta en el protocol Transparent Network Substrate (TNS) d’Oracle permet a atacants sense autenticar accedir a fragments de memòria del sistema. Encara que Oracle ja ha publicat un pegat correctiu, diversos servidors continuen exposats a possibles atacs i això representa un risc de filtració de dades sensibles.

Anàlisi

La vulnerabilitat afecta el protocol TNS quan el listener d’Oracle està configurat per a acceptar connexions TCPS i l’opció LOCAL_US_AUTHENTICATION està desactivada. En esta configuració, una simple petició de versió pot retornar memòria no inicialitzada que conté variables de l’entorn del sistema com USERNAME, USERDOMAIN o la variable Path.

CVE-2025-30733: esta vulnerabilitat representa un risc significatiu, ja que afecta directament el protocol Oracle TNS i permet que una sol·licitud especialment dissenyada provoque una fugida de memòria del sistema. Amb certes configuracions, un atacant sense autenticar pot obtindre dades sensibles com ara noms d’usuari, rutes d’instal·lació o variables d’entorn, cosa que facilita moviments laterals o atacs dirigits dins de la infraestructura afectada.

Perquè l’atac tinga èxit, han de complir-se les condicions següents:

• • Accés de xarxa al listener TNS (port 1521 per defecte)
  • Configuració que permeta connexions remotes no predeterminades
  • Interacció indirecta d’un usuari legítim (segons vector UI:R)

Recursos afectats

Esta vulnerabilitat afecta les següents versions d’Oracle Database:

• • 19c: de la versió 19.3 fins a 19.26
  • 21c: de la versió 21.3 fins a 21.17
  • 23c: de la versió 23.4 fins a 23.7

Recomanacions

Instal·lar l’actualització de pegat crític d’abril de 2025 o versions posteriors disponibles en el lloc oficial d’Oracle.

Referències

https://support.hpe.com/hpesc/public/docDisplay?docId=hpesbns04859en_us&docLocale=en_US

https://www.oracle.com/security-alerts/cpuapr2025.html