Microsoft se ha visto obligado a emitir actualizaciones de seguridad para cuatro vulnerabilidades de día cero más, incluidas dos que se encuentran actualmente bajo explotación activa.

La ronda de actualizaciones del martes de parches de febrero del gigante tecnológico incluye correcciones para más de 50 CVE, incluidos 22 errores de ejecución de código remoto (RCE), 19 fallas de elevación de privilegios (EoP) y dos vulnerabilidades de omisión de funciones de seguridad.

Las CVE que se encuentran bajo explotación activa incluyen CVE-2025-21391, un error de EoP de Windows Storage con una puntuación CVSS de 7,1.

«A primera vista, ‘solo’ permite eliminar archivos específicos, pero el verdadero poder radica en combinarlo con la ejecución de código para aumentar los privilegios. “No representa una amenaza para la confidencialidad, pero puede afectar gravemente a la integridad y la disponibilidad, y dejar a los servidores paralizados si se eliminan datos clave”, explicó Saeed Abbasi, gerente de investigación de vulnerabilidades en la Unidad de investigación de amenazas de Qualys (TRU).

“Técnicamente, el error aprovecha una eliminación arbitraria de archivos o carpetas en Windows, lo que permite a los atacantes eliminar un elemento crucial del sistema y volver a crearlo con permisos débiles. Esto engaña a Windows para que ejecute contenido controlado por el atacante, lo que en última instancia otorga acceso a nivel de sistema. En otras palabras, no descarte esto como un error menor: es un trampolín sigiloso hacia el control total de un sistema”.

La segunda vulnerabilidad de día cero explotada activamente es CVE-2025-21418, otro error de EoP, pero esta vez en el controlador de función auxiliar de Windows (AFD) para WinSock. Según el cofundador de Action1, Alex Vovk, se aplica a todas las versiones de Windows que contienen el controlador AFD.sys vulnerable, incluidos Windows 10, Windows 11, Windows Server 2016 y posteriores.

“La explotación exitosa otorga privilegios del sistema, el nivel más alto en Windows, lo que permite a un atacante instalar programas, manipular datos, crear cuentas con todos los derechos de usuario y modificar las configuraciones del sistema y los ajustes de seguridad”, agregó.

“Las posibles rutas de ataque incluyen obtener acceso inicial a través de ingeniería social o malware, aprovechando la vulnerabilidad para aumentar los privilegios. Si se combina con una vulnerabilidad de RCE, un atacante podría comprometer un sistema de forma remota, elevar los privilegios del sistema, deshabilitar las herramientas de seguridad para evadir la detección y ejecutar ataques de varias etapas para infiltrarse en entornos seguros”.

Los dos días cero divulgados públicamente que hasta ahora no han sido explotados son:

CVE-2025-21194: un error de omisión de la función de seguridad de Microsoft Surface que se relaciona con «máquinas virtuales dentro de una máquina host de Interfaz de firmware extensible unificada (UEFI)», según Microsoft. En ciertos equipos, puede ser posible omitir la UEFI y comprometer el hipervisor y el núcleo seguro.
CVE-2025-21377: una vulnerabilidad de suplantación de divulgación de hash NTLM que podría permitir a un atacante remoto iniciar sesión haciéndose pasar por un usuario legítimo.