Justo después de CVE-2025-66516, la vulnerabilidad de máxima gravedad XXE en Apache Tika, han surgido un par de fallos de seguridad en productos de Windows. En su actualización de seguridad de diciembre de 2025, Microsoft abordó 57 vulnerabilidades, incluyendo dos cero días, CVE-2025-62221 y CVE-2025-54100.

Las tecnologías de Microsoft sustentan una gran parte de la infraestructura digital global, haciendo que la seguridad de su ecosistema sea especialmente crítica. El Informe de Vulnerabilidades de Microsoft de BeyondTrust 2025 señala que 2024 estableció un nuevo récord con 1,360 vulnerabilidades de Microsoft divulgadas—un aumento del 11% respecto al año anterior—con Elevación de Privilegios (EoP) y RCE problemas destacándose como los más graves. Esa tendencia continuó en 2025, con Tenable señalando que Microsoft entregó parches para 1,129 CVEs en 2025—el segundo año consecutivo en que la empresa superó el umbral de mil vulnerabilidades. En el lanzamiento de Patch Tuesday de diciembre de 2025, los fallos de EoP constituyeron la mitad de todas las vulnerabilidades abordadas, con vulnerabilidades RCE siguiéndole con aproximadamente un tercio (33.9%). Los cero días mencionados anteriormente abordados en el Patch Tuesday de diciembre de 2025 también encajan en estas categorías de amenazas. 

Regístrate en la Plataforma SOC Prime, la primera Plataforma de Inteligencia en la Detección AI-Nativa de la industria para defensa en tiempo real, para explorar una colección de más de 600,000 reglas de detección que abordan las amenazas más recientes y equipan a tu equipo con IA y la mejor experiencia en ciberseguridad. Haz clic Explorar Detecciones para acceder al extenso conjunto de reglas para detección de explotación de vulnerabilidades, prefiltrado con la etiqueta personalizada “CVE”.

Explorar Detecciones

Todas las reglas de detección pueden usarse en múltiples plataformas SIEM, EDR y Data Lake y están alineadas con el último marco MITRE ATT&CK® v18.1. Explora la inteligencia de amenazas AI-nativa, incluyendo CTI referencias, líneas de tiempo de ataques, configuraciones de auditoría, recomendaciones de triaje y más contexto de amenazas con el que cada regla está enriquecida.

Los equipos de seguridad también pueden reducir significativamente la sobrecarga de ingeniería de detección con Uncoder AI convirtiendo instantáneamente la lógica de detección entre múltiples formatos de lenguaje para mejorar la precisión de la traducción, creando detecciones a partir de informes de amenazas en crudo, visualizando Flujos de Ataque, acelerando el enriquecimiento y ajuste fino mientras racionalizan los flujos de trabajo de validación. 

Análisis de CVE-2025-62221 y CVE-2025-54100

Microsoft está cerrando el año lanzando parches para 57 vulnerabilidades de seguridad en productos de Windows cubiertos en su actualización de seguridad de diciembre de 2025, incluyendo dos cero días con una puntuación CVSS de 7.8, CVE-2025-62221 y CVE-2025-54100.

El fallo explotado activamente, CVE-2025-62221, es una vulnerabilidad de elevación de privilegios de uso después de liberación en el Controlador Mini Filtro de Archivos de la Nube de Windows que permite a un atacante local autenticado escalar privilegios a SYSTEM. Al explotar este fallo, los adversarios pueden obtener control total de los sistemas Windows afectados sin interacción del usuario, aunque se requiere acceso local.

El proveedor ha confirmado la explotación activa de 2025-62221 en el medio; sin embargo, los métodos de ataque específicos permanecen no divulgados. La vulnerabilidad afecta a sistemas con el minifiltro de Archivos de la Nube, que está presente incluso si aplicaciones como OneDrive, Google Drive o iCloud no están instaladas. 

Debido a los crecientes riesgos de explotación, CISA recientemente ha añadido CVE-2025-62221 a su catálogo KEV, requiriendo que las agencias de la Rama Ejecutiva Civil Federal apliquen la actualización antes del 30 de diciembre de 2025. 

Otro cero día, CVE-2025-54100, es un fallo RCE en Windows PowerShell que permite a atacantes no autenticados ejecutar código arbitrario si logran que un usuario ejecute un comando PowerShell diseñado, por ejemplo, a través de Invoke-WebRequest.

El riesgo se vuelve más pronunciado cuando se combina con tácticas comunes de ingeniería social: los adversarios podrían engañar a un usuario o administrador para ejecutar un fragmento de PowerShell que recupere contenido malicioso de un servidor remoto, desencadenando un error de análisis y permitiendo la ejecución de código o la entrega de implantes. Aunque el problema es conocido públicamente, Microsoft informa que no hay explotación activa y actualmente califica la probabilidad de explotación como baja. El fallo no requiere privilegios pero depende de la interacción del usuario, haciendo que la ingeniería social sea el camino de ataque más probable.

Como posibles medidas de mitigación  para 2025-62221 y CVE-2025-54100, se insta a las organizaciones que dependen de los productos Windows correspondientes a aplicar los parches de inmediato. Con la Plataforma AI-Nativa de Inteligencia en la Detección de SOC Prime, los equipos SOC pueden obtener contenido de detección del repositorio más grande y actualizado, adoptar sin problemas toda la línea de proceso desde la detección hasta la simulación en sus procesos de seguridad, orquestar flujos de trabajo en su lenguaje natural y navegar ágilmente en el cambiante panorama de amenazas mientras fortalecen las defensas a escala.