Microsoft ha publicado su paquete de seguridad de noviembre con 63 vulnerabilidades corregidas en Windows y componentes asociados. El lote incluye una 0‑day ya explotada en el kernel (CVE‑2025‑62215), cuatro fallos críticos y decenas de vulnerabilidades de gravedad alta. Según el Microsoft Security Response Center (MSRC) y el Microsoft Threat Intelligence Center (MSTIC), los parches cubren desde elevación de privilegios hasta ejecución remota de código (RCE), filtración de información y evasión de controles.
Principales correcciones y prioridades de actualización
CVE‑2025‑62215: condición de carrera en el kernel con elevación a SYSTEM
La 0‑day CVE‑2025‑62215 presenta un race condition en el kernel de Windows con CVSS 7.0. Un atacante con acceso inicial de bajos privilegios puede forzar una condición de carrera al competir por un recurso compartido del kernel, provocando un double free y corrupción del heap del kernel. La explotación correcta permite sobrescribir estructuras críticas y elevar privilegios a SYSTEM. Por su naturaleza, esta vulnerabilidad encaja en fases de post‑explotación tras accesos iniciales obtenidos mediante phishing, ingeniería social o explotación secundaria.
RCE críticas en el stack gráfico y WSLg
Microsoft también resuelve dos desbordamientos de búfer en memoria dinámica que habilitan ejecución remota de código: CVE‑2025‑60724 (CVSS 9.8) en un componente gráfico y CVE‑2025‑62220 (CVSS 8.8) en Windows Subsystem for Linux GUI (WSLg). En ambos casos, el atacante podría ejecutar código arbitrario con los permisos del usuario actual, aumentando el riesgo en workstations con uso intensivo de aplicaciones gráficas y entornos WSLg.
Kerberos “CheckSum” (CVE‑2025‑60704)
La vulnerabilidad CVE‑2025‑60704 (CVSS 7.5), denominada CheckSum por Silverfort, deriva de la ausencia de un paso criptográfico necesario en el flujo de Kerberos. El fallo facilita Man‑in‑the‑Middle y suplantación de identidad, con impacto potencial elevado en dominios corporativos: comprometer la autenticación Kerberos puede acelerar la toma de control de recursos de Active Directory.
Estadísticas del lanzamiento de noviembre
Del total de 63 CVE, 4 son críticos y 59 importantes. La distribución refleja el foco actual de los atacantes en la fase de post‑explotación: 29 vulnerabilidades de elevación de privilegios, 16 de RCE y 11 de divulgación de información. El resto se reparte entre Denegación de Servicio, bypass de características de seguridad y spoofing.
ESU para Windows 10 y actualización fuera de banda
Este mes llega el primer paquete de Extended Security Updates (ESU) para Windows 10 tras el fin de soporte estándar. Algunos clientes reportaron errores al registrarse en ESU; Microsoft ha publicado una actualización fuera de banda que corrige el problema y restablece el acceso al canal de soporte extendido.
Recomendaciones prácticas y mitigación
Priorice el despliegue de parches para CVE‑2025‑62215, CVE‑2025‑60724, CVE‑2025‑62220 y CVE‑2025‑60704, comenzando por endpoints de mayor exposición: puestos de desarrollo, servidores de terminal, VDI y equipos con uso activo de aplicaciones gráficas/WSLg. Refuerce el monitoring de intentos de elevación de privilegios y anomalías de Kerberos; verifique que las políticas de EDR y Application Control siguen aplicándose tras el parcheo y que no existen exclusiones que abran brechas.
El patrón es claro: los atacantes combinan acceso inicial con privilege escalation y lateral movement. La respuesta eficaz pasa por parchear de forma oportuna, priorizar activos críticos, aplicar segmentación de red y endurecer autenticación (MFA donde sea viable). Programe una ventana de mantenimiento, pruebe compatibilidad en un entorno piloto y ejecute el despliegue cuanto antes; complemente con telemetría y alertas sobre actividades anómalas en el kernel, Kerberos y procesos gráficos para reducir la superficie de ataque real.
