Como parte del “Martes de parches” de este mes, Microsoft enumeró 58 vulnerabilidades en su propio software, así como cuatro en otras herramientas, incluido Chromium y para ello, ha publicado parches para más de 60 fallos este mes, incluidas seis vulnerabilidades de día cero que ya están siendo atacadas por piratas informáticos.

Si bien esta cantidad de fallas no es fuera de lo común, el experto en seguridad Dustin Childs señaló que el volumen bajo ataque activo es extraordinariamente alto, «Microsoft enumera seis errores que se estaban explotando en el momento del lanzamiento, y tres de ellos figuran como conocidos públicamente».

De las seis vulnerabilidades de día cero, cinco se consideran importantes y una moderada, en lugar de la crítica más grave. Dado que estas vulnerabilidades ya están siendo atacadas por hackers, se recomienda su rápida aplicación de parches.

Uno de ellos se dirige a Microsoft Word, lo que permite a los atacantes eludir las funciones de seguridad locales para acceder a la configuración de control avanzada y posiblemente permitir la ejecución de código. Sin embargo, como señaló Microsoft “un atacante debe enviar a un usuario un archivo malicioso de Office y convencerlo de que lo abra”.

Otra falla de seguridad que se está solucionando también requiere la interacción del usuario, haciendo clic en un enlace malicioso o en un archivo de acceso directo antes de que el atacante pueda usar este error para introducirse «una explotación exitosa permite al atacante suprimir o evadir los diálogos de seguridad habituales de «¿está seguro?» para contenido no confiable, lo que facilita la entrega y ejecución de más cargas útiles sin levantar sospechas del usuario», dijo el investigador de seguridad de Malware Bytes, Pieter Arntz.

Si bien es necesario engañar a los usuarios a través de un enlace malicioso, Childs señaló «aun así, un error de un solo clic para lograr la ejecución del código es una rareza».

Otras fallas de día cero que Microsoft está abordando incluyen un error de denegación de servicio que afecta al Administrador de conexión de acceso remoto de Windows, una vulnerabilidad de elevación de privilegios en los Servicios de Escritorio remoto de Windows y un error en el Administrador de ventanas de escritorio.

El último de los seis ataques de día cero afecta a Internet Explorer, aunque ya no existe como navegador, aún persiste en Windows . Una vez más, es necesario engañar a los usuarios para que hagan clic en un enlace malicioso para habilitar este ataque «la solución en este caso es simplemente la posibilidad de acceder a IE, lo que no debería ser posible», señaló Childs, añadiendo que llamar a IE «siempre genera una vulnerabilidad de alguna manera».

Parches para solucionar fallas en Azure y GitHub Copilot

Las fallas restantes reparadas por Microsoft incluyen un trío de errores críticos detectados en Azure, así como vulnerabilidades que podrían permitir la ejecución remota de código en GitHub Copilot.

Todas estas fallas se centran en una vulnerabilidad de inyección de comandos, señaló Kevin Breem, director senior de investigación de amenazas cibernéticas en Immersive Labs, y pueden activarse a través de una inyección rápida.

Breem dijo que esto podría permitir a un pirata informático incorporar un mensaje malicioso que se activa cuando un desarrollador usa un flujo de trabajo de agente, eludiendo potencialmente las restricciones de seguridad existentes para ejecutar código o comandos.

Esto es particularmente problemático porque los desarrolladores pueden tener acceso a datos confidenciales como claves API, añadió «si se combinan organizaciones que permiten a los desarrolladores y a los canales de automatización utilizar LLM y Agentic AI con el aviso adecuado, un atacante podría tener un impacto significativo», señaló.

«Esto no significa que debamos dejar de usar IA, sino garantizar que los desarrolladores comprendan los riesgos e identifiquen qué tiene acceso a los agentes de IA y, por último, el privilegio mínimo puede limitar el impacto si se comprometen los secretos de un desarrollador».