Microsoft ha publicado actualizaciones de seguridad para 67 vulnerabilidades en su lanzamiento del Patch Tuesday de febrero de 2025. Entre ellas hay tres vulnerabilidades críticas y cuatro de día cero que afectan al hash NTLMv2 de Windows, al almacenamiento de Windows y al controlador de funciones auxiliares de Windows, así como a los dispositivos Microsoft Surface.
Análisis de riesgos de febrero de 2025
El principal tipo de riesgo de este mes por técnica de explotación es la ejecución remota de código (RCE), con un 42%, seguida de la elevación de privilegios (32%).
Nota: Ocho de las vulnerabilidades afectan a Azure Linux, pero Microsoft no proporcionó la gravedad, por lo que no se incluyen en la figura 1.
Figura 1. Desglose del Patch Tuesday de febrero de 2025 por técnica de explotación
Por familia de productos, Microsoft Windows fue el que más parches recibió este mes, con 37, seguido de Extended Security Update (ESU), con 23, y Mariner (Linux Distribution for Azure), con 12.
Figura 2. Desglose de las familia de productos afectadas por el Patch Tuesday de febrero de 2025
Vulnerabilidad Zero-day activamente explotada en Windows Ancillary Function Driver for WinSock
Windows Ancillary Function Driver for WinSock recibió un parche para CVE-2025-21418, que tiene una calificación CVSS de 7,8 y una gravedad de Importante. Windows Ancillary Function Driver for WinSock se encarga principalmente de gestionar funciones relacionadas con la red. Esta vulnerabilidad de elevación de privilegios permite a un atacante obtener privilegios de SYSTEM. Microsoft ha indicado que la vulnerabilidad es el resultado de un desbordamiento de búfer basado en heap, pero no ha compartido otros detalles ni la fuente de divulgación.
| Severity | CVSS Score | CVE | Description |
| Important | 7.8 | CVE-2025-21418 | Windows Ancillary Function Driver for WinSock Elevation of Privilege Vulnerability |
Tabla 1. Zero-day en el controlador de funciones auxiliares de Windows para WinSock
Vulnerabilidad Zero-Day explotada activamente en Windows Storage
Windows Storage recibió un parche para CVE-2025-21391, que tiene una gravedad de Importante y una puntuación CVSS de 7,1. Esta vulnerabilidad de elevación de privilegios permite a un atacante eliminar archivos específicos de un sistema. La vulnerabilidad no permite la divulgación de datos, pero podría interrumpir los servicios si se eliminan archivos críticos.
| Severity | CVSS Score | CVE | Description |
| Important | 7.1 | CVE-2025-21391 | Windows Storage Elevation of Privilege Vulnerability |
Tabla 2. Zero-day en Windows Storage
Vulnerabilidades Zero-Day divulgadas públicamente en Microsoft Surface y Windows
Los dispositivos Microsoft Surface han recibido un parche para CVE-2025-21194, que tiene una gravedad de Importante y una puntuación CVSS de 7,1. La explotación exitosa de esta vulnerabilidad altamente compleja depende de la convergencia de múltiples factores, incluyendo el comportamiento específico de la aplicación, las acciones del usuario, la manipulación de parámetros de función y la suplantación de token de nivel de integridad.
| Severity | CVSS Score | CVE | Description |
| Important | 7.1 | CVE-2025-21194 | Microsoft Surface Security Feature Bypass Vulnerability |
Tabla 3. Zero-day en Microsoft Surface
Windows ha recibido un parche para CVE-2025-21377, que tiene una gravedad de Importante y una puntuación CVSS de 6,5. Esta vulnerabilidad puede conducir a una pérdida total de confidencialidad al exponer el hash NTLMv2 de un usuario, permitiendo potencialmente a un atacante autenticarse como el usuario.Requiere una interacción mínima del usuario con un archivo malicioso.
Esta vulnerabilidad afecta a todas las versiones de Windows. Aunque Microsoft ha anunciado la retirada de la aplicación Internet Explorer 11 en determinadas plataformas y la aplicación Microsoft Edge Legacy está obsoleta, las plataformas subyacentes MSHTML, EdgeHTML y scripting siguen siendo compatibles. Se incluyen actualizaciones acumulativas de Internet Explorer (IE) para algunos servidores debido al soporte continuo para MSHTML, EdgeHTML y plataformas de scripting. Para una protección completa, Microsoft recomienda instalar tanto las actualizaciones de seguridad de Windows como las actualizaciones acumulativas de IE. La facilidad de explotación de esta vulnerabilidad y su alto riesgo exigen una urgente mitigación y aplicación de parches.
| Severity | CVSS Score | CVE | Description |
| Important | 6.5 | CVE-2025-21377 | NTLMv2 Hash Disclosure Spoofing Vulnerability |
Tabla 4. Zero-day en Windows
Vulnerabilidad crítica en Windows Lightweight Directory Access Protocol
CVE-2025-21376 es una vulnerabilidad RCE crítica que afecta a Windows Lightweight Directory Access Protocol (LDAP) y tiene una puntuación CVSS de 8,1. Esta vulnerabilidad de alta complejidad requiere que un atacante gane una race condition para explotarla con éxito. Un atacante no autenticado podría aprovecharla enviando una solicitud especialmente diseñada a un servidor LDAP vulnerable, causando potencialmente un desbordamiento de búfer que podría conducir a la ejecución remota de código.
Microsoft recomienda que todos los servidores de Active Directory estén configurados para no aceptar llamadas a procedimientos remotos (RPC) desde redes no fiables, además de parchear esta vulnerabilidad. Debido a la facilidad de explotación y al riesgo significativo que esta vulnerabilidad supone para el entorno de Active Directory, debe mitigarse y parchearse rápidamente.
| Severity | CVSS Score | CVE | Description |
| Critical | 8.1 | CVE-2025-21376 | Windows Lightweight Directory Access Protocol (LDAP) Remote Code Execution Vulnerability |
Cuadro 5. Vulnerabilidad crítica en Windows Lightweight Directory Access Protocol (LDAP)
Vulnerabilidad crítica en Microsoft Excel
CVE-2025-21381 es una vulnerabilidad RCE crítica que afecta a Microsoft Excel y tiene una puntuación CVSS de 7,8. A pesar de estar clasificada como un vector de ataque local en CVSS, esta vulnerabilidad puede conducir a la ejecución remota de código porque el atacante puede estar en remoto mientras que el exploit se produce localmente en la máquina de la víctima. La vulnerabilidad podría activarse a través del panel de vista previa en las aplicaciones afectadas, como hemos visto muchas veces en vulnerabilidades similares (abril de 2023, julio de 2023, diciembre de 2023, octubre de 2024, enero de 2025).
| Severity | CVSS Score | CVE | Description |
| Critical | 7.8 | CVE-2025-21381 | Microsoft Excel Remote Code Execution Vulnerability |
Tabla 6. Vulnerabilidad crítica en Microsoft Excel
Vulnerabilidad Crítica en el Servicio Cliente del Protocolo de Configuración Dinámica de Host
CVE-2025-21379 es una vulnerabilidad RCE crítica con una puntuación CVSS de 7,1 y afecta al servicio de cliente DHCP (Dynamic Host Configuration Protocol). Esta vulnerabilidad de alta complejidad requiere que el atacante realice un ataque machine-in-the-middle, inyectándose entre el objetivo y el recurso solicitado. El ataque se limita a los sistemas en el mismo segmento de red que el atacante, restringiendo su alcance a una red de área local en lugar de a través de múltiples redes.
| Severity | CVSS Score | CVE | Description |
| Critical | 7.1 | CVE-2025-21379 | DHCP Client Service Remote Code Execution Vulnerability |
Tabla 7. Vulnerabilidad crítica en el servicio cliente DHCP