Microsoft publicó su ciclo de parches de septiembre con 81 vulnerabilidades corregidas en Windows y servicios asociados. El boletín incluye nueve fallos críticos, en su mayoría de ejecución remota de código (RCE), y dos zero‑day divulgados públicamente. Según Microsoft, no hay evidencias de explotación activa en el momento del lanzamiento, pero la exposición de varios componentes clave —SMB, NTLM, HPC Pack y SQL Server— exige una priorización cuidadosa.
Vulnerabilidades zero‑day: SMB relay y Newtonsoft.Json en SQL Server
CVE-2025-55234: elevación de privilegios mediante relay en Windows SMB Server
CVE-2025-55234 (CVSS 8.8) afecta a Windows SMB Server y habilita ataques de relay que pueden traducirse en elevación de privilegios aprovechando credenciales reenviadas. En términos simples, un atacante intercepta y reenvía la autenticación de la víctima hacia un servicio objetivo para actuar en su nombre. Microsoft recomienda activar SMB Server Signing y Extended Protection for Authentication (EPA) para reducir sustancialmente el riesgo.
La activación de estas protecciones puede impactar la compatibilidad con clientes heredados. Se sugiere inventariar servidores SMB, evaluar dependencias y proceder con un despliegue escalonado, iniciando en entornos de prueba y monitorizando errores de autenticación o degradación de rendimiento.
CVE-2024-21907: denegación de servicio por Newtonsoft.Json incluida en SQL Server
CVE-2024-21907 (CVSS 7.5) se origina en la biblioteca Newtonsoft.Json distribuida con ciertas compilaciones de Microsoft SQL Server. El envío de datos malformados a JsonConvert.DeserializeObject puede provocar un StackOverflow y causar denegación de servicio incluso sin autenticación en escenarios concretos. La vulnerabilidad ya había sido divulgada y queda corregida en este ciclo.
Parcheos críticos: Azure (CVSS 10.0), RCE en HPC Pack y NTLM
CVE-2025-54914: fallo crítico en componentes de red de Azure
CVE-2025-54914 obtuvo CVSS 10.0 por su impacto en servicios de red de Azure, con potencial de elevación de privilegios. Al tratarse de una vulnerabilidad en la plataforma cloud, el remediado se aplica del lado de Microsoft y no requiere acción directa del cliente más allá de la verificación de estado y los controles de seguridad habituales.
CVE-2025-55232: ejecución remota de código en Microsoft HPC Pack
CVE-2025-55232 (CVSS 9.8) permite RCE en Microsoft High Performance Compute (HPC) Pack, afectando a nodos de clúster. Para mitigar, ubique el clúster en un segmento de confianza, minimice su exposición y filtre el puerto TCP 5999 tanto en perímetro como en cortafuegos internos, limitando el acceso únicamente a orígenes autorizados.
CVE-2025-54918: elevación de privilegios en Windows NTLM
CVE-2025-54918 (CVSS 8.8) impacta Windows NTLM y puede permitir elevar privilegios hasta SYSTEM. Es recomendable acelerar el despliegue de parches, revisar políticas de autenticación y, cuando sea posible, endurecer NTLM o avanzar hacia mecanismos con autenticación mutua más robusta.
Priorización de parches y gestión del riesgo
La estrategia sugerida combina CVSS, exposición y criticidad del servicio. Sistemas con entrada desde Internet o redes no confiables (servidores SMB, clústeres HPC, SQL) deben actualizarse primero. Para los riesgos de SMB relay, complemente el parche con SMB Signing/EPA, tras pruebas de compatibilidad y con monitoreo de telemetría de autenticación.
Buenas prácticas para reducir la superficie de ataque
Acelere la instalación de los parches de septiembre en todo el entorno afectado. Limite el acceso a puertos administrativos y de servicio —incluido TCP 5999 en HPC Pack— mediante segmentación, listas de control de acceso y principios Zero Trust. En SQL Server, identifique dependencias de Newtonsoft.Json y actualice componentes vulnerables. Refuerce políticas de autenticación y la observabilidad (registros y alertas) para detectar con rapidez intentos de elevación de privilegios.
La tendencia es clara: los atacantes buscan debilidades en mecanismos de autenticación (SMB, NTLM) y en servicios de alto rendimiento (HPC y componentes cloud). Reducir el tiempo de parcheo, segmentar la red, aplicar el mínimo privilegio y proteger la autenticación disminuye de manera decisiva la ventana de ataque. Revise su exposición hoy, priorice estos parches y mantenga la vigilancia con las guías de Microsoft y avisos de los CSIRT para fortalecer su postura de ciberseguridad.