Microsoft ha publicado actualizaciones de seguridad para 159 vulnerabilidades en su lanzamiento del martes de parches de enero de 2025. Entre ellas hay 10 vulnerabilidades críticas y 8 tipo Zero-Day que afectan a Windows Hyper-V NT Kernel Integration VSP, Microsoft Access, Windows App Package Installer y Windows Themes.
Análisis de riesgos de enero de 2025
El tipo de riesgo líder de este mes por técnica de explotación es la ejecución remota de código (RCE), con un 36%, seguida de la elevación de privilegios (25%).
Figura 1. Desglose de las técnicas de explotación del Patch Tuesday de enero de 2025
Microsoft Windows recibió el mayor número de parches este mes, con 132, seguido de ESU (95) y Microsoft Office (19).
Figura 2. Desglose de las familias de productos afectadas por el Patch Tuesday de enero de 2025
Vulnerabilidades de Zero-Day explotadas activamente en Windows Hyper-V NT Kernel Integration VSP
Windows Hyper-V NT Kernel Integration VSP recibió parches para CVE-2025-21333, CVE-2025-21334 y CVE-2025-21335, que tienen una gravedad de Importante y una puntuación CVSS de 7,8. Estas vulnerabilidades de elevación de privilegios (EoP) permiten a un atacante que las explota con éxito obtener privilegios de SISTEMA. Estas vulnerabilidades de elevación de privilegios (EoP) permiten a un atacante que las explote con éxito obtener privilegios de SISTEMA. Microsoft ha indicado que las debilidades se deben a un desbordamiento de búfer basado en heap, pero no ha compartido detalles de las vulnerabilidades o la fuente de divulgación.
Severity | CVSS Score | CVE | Description |
| Important | 7.8 | CVE-2025-21333 | Windows Hyper-V NT Kernel Integration VSP Elevation of Privilege Vulnerability |
| Important | 7.8 | CVE-2025-21334 | Windows Hyper-V NT Kernel Integration VSP Elevation of Privilege Vulnerability |
| Important | 7.8 | CVE-2025-21335 | Windows Hyper-V NT Kernel Integration VSP Elevation of Privilege Vulnerability |
Tabla 1. Zero-day en Windows Hyper-V NT Kernel Integration VSP
Vulnerabilidades Zero-Day divulgadas públicamente en Microsoft Office Access, Windows App Package Installer y Windows Themes
Microsoft Office Access recibió parches para las vulnerabilidades CVE-2025-21366, CVE-2025-21186 y CVE-2025-21395, todas ellas con una gravedad de Importante y una puntuación CVSS de 7,8. Estas vulnerabilidades RCE se aprovechan abriendo documentos de Microsoft Access especialmente diseñados. Microsoft ha abordado este vector de ataque bloqueando el acceso a determinados tipos de extensiones, además de parchear las vulnerabilidades.
Vulnerabilidades Zero-Day divulgadas públicamente en Microsoft Office Access, Windows App Package Installer y Windows Themes
Microsoft Office Access recibió parches para las vulnerabilidades CVE-2025-21366, CVE-2025-21186 y CVE-2025-21395, todas ellas con una gravedad de Importante y una puntuación CVSS de 7,8. Estas vulnerabilidades RCE se aprovechan abriendo documentos de Microsoft Access especialmente diseñados. Microsoft ha abordado este vector de ataque bloqueando el acceso a determinados tipos de extensiones, además de parchear las vulnerabilidades.
| Severity | CVSS Score | CVE | Description |
| Important | 7.8 | CVE-2025-21366 | Microsoft Access Remote Code Execution Vulnerability |
| Important | 7.8 | CVE-2025-21395 | Microsoft Access Remote Code Execution Vulnerability |
| Important | 7.8 | CVE-2025-21186 | Microsoft Access Remote Code Execution Vulnerability |
Tabla 2. Zero-day en Microsoft Office Access
Windows App Package Installer recibió un parche para CVE-2025-21275, que tiene una gravedad de Importante y una puntuación CVSS de 7,8. Esta vulnerabilidad EoP permite a un atacante que la explote con éxito obtener privilegios de SISTEMA. Microsoft ha indicado que la debilidad se debe a una autorización incorrecta, pero no ha compartido detalles sobre la vulnerabilidad o la fuente de divulgación.
| Severity | CVSS Score | CVE | Description |
| Important | 7.8 | CVE-2025-21275 | Windows App Package Installer Elevation of Privilege Vulnerability |
Tabla 3. Zero-day en Windows App Package Installer
Windows Themes recibió un parche para CVE-2025-21308, que tiene una gravedad de Importante y una puntuación CVSS de 6,5. Esta vulnerabilidad de suplantación de identidad permite a los atacantes explotar archivos de Temas especialmente diseñados en el Explorador de Windows, filtrando potencialmente las credenciales de los usuarios. Esto ocurre cuando los archivos de Temas especifican rutas de red para las opciones BrandImage y Wallpaper, solicitando autenticación automática a hosts remotos. Para explotar con éxito esta vulnerabilidad, el atacante tendría que convencer primero al usuario de que cargue un archivo malicioso en su sistema antes de ejecutar los archivos de Temas especialmente diseñados. Microsoft ha proporcionado detalles de mitigación, que incluyen la desactivación de NTLM y/o la restricción del tráfico NTLM saliente a servidores remotos.
| Severity | CVSS Score | CVE | Description |
| Important | 6.5 | CVE-2025-21308 | Windows Themes Spoofing Vulnerability |
Tabla 4. Zero-day en Windows Themes
Vulnerabilidad crítica en Windows Reliable Multicast Transport Driver
CVE-2025-21307 es una vulnerabilidad RCE crítica que afecta al controlador de transporte multicast fiable de Windows (RMCAST) y tiene una puntuación CVSS de 9,8. Un atacante no autenticado puede explotar esta vulnerabilidad enviando paquetes especialmente diseñados a un socket abierto Windows Pragmatic General Multicast (PGM) en el servidor, sin ninguna interacción del usuario. Sin embargo, la explotación sólo es posible si un programa está escuchando activamente en un puerto PGM. La vulnerabilidad no es explotable si PGM está instalado o habilitado pero no hay programas escuchando como receptores.
Dado que PGM no autentica las peticiones, es crucial proteger el acceso a cualquier puerto abierto a nivel de red, por ejemplo con un cortafuegos. Se recomienda encarecidamente evitar exponer un receptor PGM a la Internet pública debido a estos riesgos de seguridad.
| Severity | CVSS Score | CVE | Description |
| Critical | 9.8 | CVE-2025-21307 | Windows Reliable Multicast Transport Driver (RMCAST) Remote Code Execution Vulnerability |
Tabla 5. Vulnerabilidad crítica en los Servicios de Escritorio Remoto de Windows
Vulnerabilidad crítica en Windows OLE
CVE-2025-21298 es una vulnerabilidad RCE crítica con una puntuación CVSS de 9,8 y afecta a Windows OLE (Object Linking and Embedding), que es una tecnología que permite incrustar y vincular documentos y otros objetos. En un escenario de ataque por correo electrónico, un atacante podría explotar esta vulnerabilidad enviando un correo electrónico especialmente diseñado a la víctima. La explotación de esta vulnerabilidad puede implicar que la víctima abra el correo electrónico especialmente diseñado con una versión afectada del software Microsoft Outlook, o que la aplicación Outlook de la víctima muestre una vista previa del correo electrónico especialmente diseñado. Esto podría dar lugar a que el atacante ejecute código remoto en la máquina de la víctima.
| Severity | CVSS Score | CVE | Description |
| Critical | 9.8 | CVE-2025-21298 | Windows OLE Remote Code Execution Vulnerability |
Tabla 6. Vulnerabilidad crítica en Windows OLE
Vulnerabilidad crítica en Windows NTLMv1
CVE-2025-21311 es una vulnerabilidad crítica de elevación de privilegios que afecta a Windows NTLMv1 y tiene una puntuación CVSS de 9,8. NTLMv1 y NTLMv2 son dos versiones del protocolo de autenticación NTLM (NT LAN Manager) utilizado en entornos Windows. Esta vulnerabilidad es explotable remotamente desde Internet. Su baja complejidad de ataque significa que los atacantes necesitan un conocimiento mínimo del sistema y pueden tener éxito sistemáticamente con su carga útil contra el componente vulnerable. Para mitigarlo, establezca LmCompatibilityLevel en su valor máximo (5) en todas las máquinas, deshabilitando el antiguo protocolo NTLMv1 y conservando la funcionalidad NTLMv2.
| Severity | CVSS Score | CVE | Description |
| Critical | 9.8 | CVE-2025-21311 | Windows NTLMv1 Elevation of Privilege Vulnerability |
Tabla 7. Vulnerabilidad crítica en Windows NTLMv1
Dos vulnerabilidades críticas en los Servicios de Escritorio Remoto de Windows
CVE-2025-21309 y CVE-2025-21297 son vulnerabilidades RCE críticas que afectan a los Servicios de Escritorio Remoto de Windows y tienen una puntuación CVSS de 8,1. Para explotar estas vulnerabilidades, un atacante debe ganar una condición de carrera sincronizando con precisión sus acciones. El ataque consiste en conectarse a un sistema que ejecute la función Remote Desktop Gateway y, a continuación, activar la condición de carrera para crear un escenario de uso después de la liberación. Si tiene éxito, el atacante puede aprovechar esto para ejecutar código arbitrario en el sistema de destino.
| Severity | CVSS Score | CVE | Description |
| Critical | 8.1 | CVE-2025-21309 | Windows Remote Desktop Services Remote Code Execution Vulnerability |
| Critical | 8.1 | CVE-2025-21297 | Windows Remote Desktop Services Remote Code Execution Vulnerability |
Tabla 8. Vulnerabilidades críticas en los Servicios de Escritorio Remoto de Windows
Vulnerabilidad crítica en Microsoft Digest Authentication
CVE-2025-21294 es una vulnerabilidad RCE crítica que afecta a Microsoft Digest Authentication y tiene una puntuación CVSS de 8,1. La explotación de esta vulnerabilidad depende de que un atacante gane una condición de carrera. El ataque consiste en conectarse a un sistema que requiera autenticación de resumen y, a continuación, programar la explotación para crear un escenario de uso después de la liberación. Si tiene éxito, esto permite al atacante ejecutar código arbitrario en el sistema de destino.
| Severity | CVSS Score | CVE | Description |
| Critical | 8.1 | CVE-2025-21294 | Microsoft Digest Authentication Remote Code Execution Vulnerability |
Cuadro 9. Vulnerabilidad crítica en Microsoft Digest Authentication
Vulnerabilidad Crítica en el Mecanismo de Seguridad de Negociación Extendida SPNEGO (NEGOEX)
CVE-2025-21295 es una vulnerabilidad RCE crítica que afecta al Mecanismo de Seguridad de Negociación Extendida (NEGOEX) de SPNEGO (Simple and Protected GSSAPI Negotiation Mechanism) y tiene una puntuación CVSS de 8.1. El mecanismo de seguridad SPNEGO NEGOEX permite la negociación segura del protocolo de autenticación que se utilizará entre un cliente y un servidor. Se utiliza a menudo en escenarios de autenticación basados en web, especialmente con Internet Explorer e IIS (Internet Information Services).
Esta vulnerabilidad puede ser explotada si un atacante manipula las operaciones del sistema de una manera específica. Si tiene éxito, el atacante podría ejecutar código remoto en el sistema objetivo sin ninguna interacción del usuario, obteniendo potencialmente un control no autorizado sobre el dispositivo afectado.
| Severity | CVSS Score | CVE | Description |
| Critical | 8.1 | CVE-2025-21295 | SPNEGO NEGOEX Security Mechanism Remote Code Execution Vulnerability |
Cuadro 10. Vulnerabilidad crítica en el mecanismo de seguridad SPNEGO NEGOEX
Dos vulnerabilidades críticas en Microsoft Excel
CVE-2025-21354 y CVE-2025-21362 son vulnerabilidades RCE críticas que afectan a Microsoft Excel y tienen una puntuación CVSS de 7,8. Microsoft ha indicado que la debilidad se debe a la desviación de puntero no fiable, pero no ha compartido detalles de la vulnerabilidad. El vector de ataque es el panel de vista previa, que hemos visto muchas veces en otras vulnerabilidades (abril de 2023, julio de 2023, diciembre de 2023, octubre de 2024).
| Severity | CVSS Score | CVE | Description |
| Critical | 7.8 | CVE-2025-21354 | Microsoft Excel Remote Code Execution Vulnerability |
| Critical | 7.8 | CVE-2025-21362 | Microsoft Excel Remote Code Execution Vulnerability |
Cuadro 11. Vulnerabilidades críticas en Microsoft Excel
Vulnerabilidad crítica en BranchCache
CVE-2025-21296 es una vulnerabilidad RCE crítica que afecta a BranchCache y tiene una puntuación CVSS de 7,5. BranchCache es una función de Microsoft Windows diseñada para mejorar el rendimiento de la red en las sucursales. BranchCache es particularmente valioso para las organizaciones que buscan optimizar el rendimiento de la red en ubicaciones distribuidas sin inversiones significativas en infraestructura. La vulnerabilidad tiene una alta complejidad de ataque – en este caso, la explotación exitosa requiere que el atacante gane una condición de carrera. El vector de ataque es adyacente, lo que limita el ataque a los sistemas del mismo segmento de red que el atacante. Este ataque no puede realizarse a través de múltiples redes y está restringido a sistemas en el mismo conmutador de red o red virtual.
| Severity | CVSS Score | CVE | Description |
| Critical | 7.5 | CVE-2025-21296 | BranchCache Remote Code Execution Vulnerability |
Cuadro 12. Vulnerabilidad crítica en BranchCache