Microsoft ha cerrado el año 2025 con un «martes de parches» especialmente relevante: 57 vulnerabilidades corregidas en su ecosistema, incluidas tres 0-day, una de ellas ya explotada activamente para obtener privilegios SYSTEM en Windows. Las actualizaciones afectan a sistemas cliente y servidor, Microsoft Office, PowerShell y GitHub Copilot for JetBrains, reforzando la urgencia de una gestión de parches rápida y estructurada.
Martes de parches de diciembre 2025: foco en vulnerabilidades 0-day de Microsoft
Siguiendo la definición de Microsoft, se consideran 0-day tanto las vulnerabilidades con explotación confirmada como aquellas cuya información se ha hecho pública antes de disponerse de un parche. En diciembre se incluyen tres casos: una escalada de privilegios en Windows ya explotada y dos fallos divulgados previamente por investigadores que afectan a GitHub Copilot for JetBrains y a Windows PowerShell. Esta combinación refuerza una tendencia clara: los entornos de desarrollo y automatización se han convertido en un objetivo prioritario para los atacantes.
CVE-2025-62221: escalada de privilegios a SYSTEM en Windows
La vulnerabilidad más crítica del conjunto es CVE-2025-62221, con una puntuación de 7,8 en CVSS. Se trata de un fallo de tipo use-after-free en el controlador Windows Cloud Files Mini Filter Driver. Un atacante ya autenticado en el sistema puede aprovecharlo para obtener privilegios locales de nivel SYSTEM, es decir, el nivel más alto de control sobre Windows.
Este tipo de vulnerabilidad permite, en la práctica, tomar el control total del equipo: instalación de backdoors, desactivación de soluciones de seguridad, movimiento lateral dentro de la red y persistencia prolongada en la infraestructura. La debilidad fue identificada por el Microsoft Threat Intelligence Center (MSTIC) y el Microsoft Security Response Center (MSRC), que confirman que la explotación está ocurriendo en ataques reales. En el mismo controlador se corrige además CVE-2025-62454 (también CVSS 7,8), otra use-after-free con potencial para convertirse en vector de ataques dirigidos.
Riesgos en GitHub Copilot y PowerShell: inyección de comandos y ejecución de código
CVE-2025-64671 en GitHub Copilot for JetBrains: prompt injection y ejecución local
La vulnerabilidad CVE-2025-64671 afecta a GitHub Copilot for JetBrains y se cataloga como un fallo de command injection. El problema permite la ejecución de código local mediante prompt injection cuando el desarrollador interactúa con archivos no confiables o con servidores MCP potencialmente maliciosos. El investigador Ari Marzuk detalló esta clase de riesgo en su trabajo «IDEsaster: A Novel Vulnerability Class in AI IDEs», evidenciando cómo las herramientas de IA para desarrollo se han convertido en un nuevo eslabón débil en la cadena de suministro de software.
CVE-2025-54100 en Windows PowerShell: Invoke-WebRequest como vector de ataque
La segunda 0-day divulgada, CVE-2025-54100, es una inyección de comandos en Windows PowerShell. El fallo se produce cuando un usuario descarga una página web mediante Invoke-WebRequest y esta contiene scripts que pueden ser interpretados y ejecutados localmente. Microsoft lo describe como una «neutralización incorrecta de elementos especiales en comandos», lo que posibilita que un atacante no autenticado consiga ejecución de código local si logra que la víctima interactúe con un contenido manipulado.
Como medida de mitigación, Microsoft ha modificado el comportamiento de PowerShell para mostrar un aviso al usar Invoke-WebRequest, recomendando indicar explícitamente el modificador -UseBasicParsing. Para equipos de administración de sistemas y DevOps, esto obliga a revisar scripts de automatización, canalizaciones CI/CD e infraestructuras como código donde Invoke-WebRequest sea habitual, con el fin de evitar que plantillas heredadas introduzcan riesgos inesperados.
Vulnerabilidades críticas en Microsoft Office: RCE desde el panel de vista previa
El paquete de diciembre incluye también 13 vulnerabilidades en Microsoft Office, de las que dos se consideran críticas: CVE-2025-62554 y CVE-2025-62557, ambas con puntuación 8,4 en CVSS. Se trata de fallos de type confusion y use-after-free que pueden derivar en ejecución remota de código (RCE). El vector de ataque pasa por el Preview Pane (panel de vista previa), lo que permite aprovechar correos o enlaces especialmente diseñados.
En el escenario más grave descrito por Microsoft, bastaría con la entrega del correo malicioso: el usuario no tendría que abrir el mensaje ni hacer clic en ningún enlace para que el intento de explotación se dispare desde la vista previa. En entornos corporativos con alta dependencia del correo electrónico y de la suite Office, estos fallos deben considerarse de máxima prioridad en los ciclos de actualización.
Tendencias 2025 y recomendaciones clave de ciberseguridad para empresas
A lo largo de 2025, Microsoft ha corregido alrededor de 1200 vulnerabilidades en sus productos, segundo año consecutivo en el que se supera la barrera del millar. Esta cifra refleja tanto la complejidad creciente del ecosistema Microsoft como la actividad de investigadores y grupos de amenaza. Una proporción significativa de los fallos sigue concentrándose en escaladas de privilegios y RCE, lo que confirma la necesidad de estrategias de defensa en profundidad.
Las organizaciones deberían desplegar los parches de diciembre en el menor tiempo posible, priorizando sistemas Windows afectados por CVE-2025-62221, entornos de desarrollo que utilicen GitHub Copilot, scripts y automatizaciones basadas en PowerShell y servidores de correo profundamente integrados con Office. Mantener gestión centralizada de parches, inventario preciso de activos, principio de mínimo privilegio y auditorías periódicas de configuración sigue siendo la forma más eficaz de reducir superficie de ataque. Cuanto más maduro y automatizado sea el proceso de actualización, menor será la ventana de oportunidad que los atacantes puedan explotar incluso frente a vulnerabilidades 0-day con explotación activa.
