Microsoft Patch Tuesday junio 2025 corrige zero day explotado y 66 vulnerabilidades

El martes 10 de junio de 2025, Microsoft publicó su Patch Tuesday del mes, corrigiendo un total de 66 vulnerabilidades. Este paquete incluye un Zero Day explotado activamente, nueve vulnerabilidades críticas y otras 56 de severidad moderada a baja.

Distribución por tipo:

•    13 elevaciones de privilegios
•    3 omisiones de funciones de seguridad
•    25 ejecuciones remotas de código
•    17 filtraciones de información
•    6 denegaciones de servicio
•    2 vulnerabilidades de suplantación (spoofing)

Windows lidera con 44 parches, seguido de ESU con 24 y Office con 18. No se incluyen correcciones para Mariner, Microsoft Edge o Power Automate lanzadas con anterioridad en el mes.

Detalles de los dos  Zero Day:

1. Zero Dayexplotado activamente – CVE202533053 (puntaje 8,2, alto)
   Esta vulnerabilidad en WebDAV permite la ejecución remota de código cuando un usuario abre un archivo .url malicioso. El grupo APT Stealth Falcon la está usando actualmente, incluyendo contra una organización de defensa en Turquía. Ahora figura en el catálogo de vulnerabilidades explotadas por CISA.
2. Zero Day hecho público – CVE 2025 33073 (puntaje 8,8, alto)
   Bug de elevación de privilegios en el cliente SMB de Windows. Un script engañoso puede forzar al sistema a autenticarse y escalar privilegios. Aunque la vulnerabilidad es pública, no hay evidencia de un exploit activo. Mitigación temporal sugerida: habilitar SMB signing en el servidor a través de Group Policy.

El parche ya está disponible. Para acceder a la lista completa de vulnerabilidades y sistemas afectados, consulte las notas de la guía de actualizaciones de seguridad de Microsoft: Microsoft Security Update Guide – junio 2025: https://msrc.microsoft.com/update-guide/releaseNote/2025-jun 

El grupo FIN6 se hace pasar por candidatos para comprometer dispositivos de reclutadores

FIN6, también conocido como “Skeleton Spider”, es un conocido grupo de amenazas especializado en fraude financiero. En su campaña más reciente, se hacen pasar por solicitantes de empleo en plataformas como LinkedIn e Indeed para infectar los dispositivos de los reclutadores con el malware More Eggs, distribuido a través de currículums falsos y sitios web de phishing.

Según un informe de DomainTools, FIN6 está llevando a cabo campañas de ingeniería social que explotan la confianza profesional. El contacto comienza en LinkedIn o Indeed, presentándose como candidatos entusiastas. Posteriormente, envían mensajes de phishing que conducen a la instalación de malware. Ni los correos electrónicos ni los CV contienen enlaces clicables, lo que les permite eludir las soluciones de seguridad corporativas. Los reclutadores terminan escribiendo manualmente la URL, que los dirige a una página que simula un portafolio profesional.

Las URLs utilizadas tienen el formato NombreApellido.com (por ejemplo, johnsmith[.]com), e imitan a un candidato real con foto y nombre. Estas páginas aplican filtrado de tráfico y CAPTCHA para asegurar que solo los reclutadores reales sean atacados. Una vez verificado el usuario, el sitio entrega un archivo ZIP malicioso, permitiendo ejecución de comandos, robo de credenciales y despliegue de cargas útiles adicionales, todo ejecutándose en memoria para evitar la detección.

Más de 80.000 instancias de Roundcube vulnerables a una falla activamente explotada – CVE-2025-49113

Actores de amenazas han explotado una vulnerabilidad crítica de ejecución remota de código (RCE) en Roundcube, identificada como CVE-2025-49113, con una puntuación de severidad crítica de 9,9. La explotación ocurrió tan solo días después de la publicación del parche, afectando a más de 80.000 servidores.

La vulnerabilidad se origina en la falta de saneamiento del parámetro $_GET['_from'] dentro de la función de carga de imágenes de Roundcube, utilizada para gestionar identidades del remitente. El fallo ha estado presente durante más de una década. Los atacantes pueden aprovecharlo para tomar control total de los sistemas afectados y ejecutar código malicioso, comprometiendo así a usuarios y organizaciones.

Según la alerta de NIST:
«Roundcube Webmail anterior a la versión 1.5.10 y 1.6.x anterior a 1.6.11 permite ejecución remota de código por parte de usuarios autenticados debido a la falta de validación del parámetro _from en program/actions/settings/upload.php, lo que lleva a deserialización de objetos en PHP.»

La vulnerabilidad fue corregida en las versiones 1.6.11 y 1.5.10 LTS. Se recomienda encarecidamente a las organizaciones aplicar esta actualización de inmediato. Como se desconoce el alcance real de los ataques, también se recomienda monitorear los sistemas vulnerables y vigilar posibles intentos de fuerza bruta.

Fallos críticos de Fortinet están siendo explotados activamente por la banda de ransomware Qilin

La banda de ransomware Qilin, también conocida como “Phantom Mantis”, ha sido observada explotando dos vulnerabilidades en dispositivos FortiOS y FortiProxy que permiten eludir la autenticación en equipos no parcheados. Qilin fue previamente vinculado al ataque contra Synnovis en el Reino Unido, proveedor de diagnósticos médicos de terceros.

La empresa de inteligencia de amenazas PRODAFT detectó que Qilin está aprovechando dos vulnerabilidades críticas: CVE-2024-21762 (escritura fuera de límites) y CVE-2024-55591 (bypass de autenticación). Ambas afectan a dispositivos FortiOS y FortiProxy con acceso SSL-VPN.

Entre mayo y junio de 2025, el grupo centró sus esfuerzos en organizaciones ubicadas en países hispanohablantes. No obstante, según PRODAFT, los datos indican que la selección de objetivos es oportunista, sin un patrón geográfico ni sectorial claro.

En febrero de 2024, Fortinet confirmó que la vulnerabilidad CVE-2024-21762 estaba siendo explotada activamente. A pesar de ello, numerosos dispositivos Fortinet siguen sin haber sido parcheados.

Fallos con claves hardcoded en Ivanti Workspace Control exponen credenciales SQL

Ivanti ha lanzado tres actualizaciones de seguridad para corregir vulnerabilidades críticas relacionadas con claves hardcoded en su plataforma Ivanti Workspace Control (IWC). Esta plataforma permite a los administradores de TI gestionar, implementar y configurar entornos y aplicaciones de usuarios de Windows, basándose en políticas y roles.

Las tres vulnerabilidades se deben al uso inseguro de claves codificadas que permiten la escalada de privilegios y la posible toma de control del sistema.
Las fallas CVE-2025-5353 y CVE-2025-22455, ambas de alta gravedad (con puntuaciones base de 8.8 y 7.2), han sido descritas por NIST como vulnerabilidades que permiten a atacantes autenticados localmente descifrar credenciales SQL (CVE-2025-5353) y contraseñas de entorno (CVE-2025-22455) en versiones anteriores a 10.19.10.0 de IWC.

Ivanti publicó parches el 10 de junio de 2025 e instó a los clientes a aplicarlos de inmediato, ya que una explotación exitosa podría comprometer credenciales sensibles.
Actualmente no hay evidencia de ataques activos que aprovechen estas fallas.
Además, Ivanti ha comunicado que retirará la plataforma IWC en diciembre de 2026, recomendando migrar al nuevo entorno User Workspace Manager.

Resumen final

Si le preocupan alguna de las amenazas descritas en este boletín o necesita ayuda para determinar qué pasos debe seguir para proteger su organización frente a los riesgos más relevantes, póngase en contacto con su Account Manager o, si lo prefiere, contáctenos directamente para conocer cómo podemos ayudarle a proteger su organización.

Aviso legal 

Este Threat Intel Roundup ha sido elaborado por Integrity360 como un resumen de la información sobre amenazas observadas en la fecha de publicación. No debe interpretarse como asesoramiento legal, técnico ni profesional. Las recomendaciones ofrecidas deben valorarse dentro del contexto específico de su organización.
Integrity360 no adopta posturas políticas en la información que difunde. Las opiniones expresadas pueden no coincidir necesariamente con la visión oficial de Integrity360.