Microsoft publicó su paquete de actualizaciones de seguridad de octubre (Patch Tuesday), corrigiendo 173 vulnerabilidades en su ecosistema. El boletín incluye seis fallos 0‑day, algunos ya explotados activamente. La compañía considera 0‑day tanto las debilidades divulgadas públicamente antes del parche como aquellas con explotación confirmada, lo que exige priorizar su despliegue en entornos corporativos.
Vulnerabilidades activamente explotadas y medidas de mitigación
CVE-2025-24990: elevación de privilegios por BYOVD en el driver de módem Agere (ltmdm64.sys)
Un fallo en el controlador de módem Agere para Windows permitía a un atacante obtener privilegios de administrador. Microsoft ha eliminado el driver ltmdm64.sys del sistema, advirtiendo que el hardware asociado dejará de funcionar. La explotación es viable incluso sin utilizar el módem y afecta a todas las versiones de Windows aún soportadas.
El patrón corresponde a BYOVD (bring your own vulnerable driver): el atacante carga un controlador vulnerable para escapar a las defensas del kernel y lograr elevación local de privilegios. Este vector es habitual en campañas modernas. Recomendaciones: aplicar los parches, inventariar controladores para detectar ltmdm64.sys y documentar el impacto operativo de su retirada en dispositivos compatibles.
CVE-2025-59230: privilegios SYSTEM en Windows Remote Access Connection Manager (RASMAN)
Un control de acceso incorrecto en RASMAN permitía a un usuario autenticado local elevar privilegios hasta SYSTEM. Con ello, un atacante podría interceptar procesos, instalar servicios y afianzarse en el host. Medidas inmediatas: parcheo sin demora; si no es imprescindible, limitar o deshabilitar la ejecución de RASMAN, reforzar el principio de mínimo privilegio y monitorizar accesos y eventos relacionados con la cuenta de servicio.
CVE-2025-47827: bypass de Secure Boot en IGEL OS hasta la versión 11
Debido a una verificación criptográfica deficiente en el módulo igel-flash-driver, IGEL OS (hasta la versión 11) permitía montar una raíz del sistema manipulada desde una imagen SquashFS no validada, rompiendo la cadena de arranque confiable. El investigador Zack Didcott describió públicamente la técnica en GitHub.
Microsoft reflejó la actualización del partner en el Security Update Guide (SUG), que ya integra CVE emitidos por proveedores del sector. Las organizaciones con thin clients basados en IGEL OS deben actualizar a la versión corregida, revisar políticas de Secure Boot y validar claves/firmware según sus requisitos de arranque seguro.
0‑day divulgadas en SMB Server y Microsoft SQL Server: riesgo de movimiento lateral
Las 0‑day previamente divulgadas en Windows SMB Server y Microsoft SQL Server elevan el riesgo operativo incluso sin detalles técnicos públicos. En infraestructuras reales, SMB y SQL son vectores habituales para movimiento lateral, escalada de privilegios y acceso a datos críticos. Prioridades recomendadas: parcheo acelerado, segmentación de red, restricción de SMB heredado, endurecimiento de autenticación y supervisión de anomalías en autenticaciones y acceso a bases de datos.
Windows 10: fin del soporte gratuito y opciones de extensión
Microsoft recuerda que el 14 de octubre de 2025 concluye el soporte gratuito de Windows 10. Las organizaciones deben planificar la migración y valorar opciones de soporte extendido para cubrir sistemas que, por razones de negocio, aún no puedan actualizarse, manteniendo la conformidad de parches y controles compensatorios.
La ventana de exposición que abren estos fallos exige disciplina: desplegar parches con prioridad de riesgo, inventariar y bloquear drivers vulnerables (lista de permitidos), reforzar políticas de Secure Boot, y vigilar servicios clave como RASMAN, SMB y SQL. Revise su gestión de vulnerabilidades, pruebe los parches en entornos controlados y programe su implantación. Actúe hoy: reduzca superficie de ataque, acelere el parcheo crítico y mantenga una monitorización continua para cortar la cadena de ataque antes de que impacte el negocio.
