Vulnerabilidad CVE-2025-12036: Un Nuevo Exploit Crítico de Código Remoto en Chrome V8 JavaScript

Análisis

CVE‑2025‑62215 es una vulnerabilidad crítica de condición de carrera en el Kernel de Windows que fue parcheada por Microsoft en su lanzamiento de Patch Tuesday de noviembre de 2025. La falla permite a un atacante con acceso local con pocos privilegios explotar una condición de “doble liberación” (double-free) en la memoria del kernel y escalar privilegios a SYSTEM. Debido a que se explota activamente y afecta a todas las ediciones de Windows OS compatibles (y ESU para Windows 10), las organizaciones enfrentan un riesgo real de comprometer completamente el sistema.

Investigación

Para investigar la exposición a CVE-2025-12036, los equipos de seguridad deben comenzar mapeando todos los puntos finales que usan Chrome u otros navegadores basados en Chromium. Inventar versiones de navegadores en Windows, macOS y Linux, y marcar cualquier sistema que ejecute versiones anteriores a Chrome 141.0.7390.122/.123 como potencialmente vulnerable. Luego, correlacionar los puntos finales no parcheados con períodos de actividad de navegación de alto riesgo, como acceso a sitios web no confiables, campañas recientes de phishing o dominios de waterhole sospechosos. Revisar la telemetría de herramientas EDR, registros de extensiones de navegador y registros de proxy o firewall por visitas a dominios sospechosos o recién registrados que sirvan JavaScript pesado, fallos del navegador o comportamiento anormal de sandbox que pueda indicar intentos de explotación, y cadenas de procesos inusuales generadas desde el navegador, incluidos shells de comandos o motores de secuencias de comandos. Para profundizar la cobertura, utilizar contenido de detección etiquetado con CVE y consultas de caza en SIEM, EDR y Data Lakes, y alinear los hallazgos con técnicas MITRE ATT&CK como Compromiso por Drive-by y Explotación para Ejecución del Cliente.

Mitigación

Debido a que la explotación de CVE-2025-12036 es trivial una vez que un usuario llega a una página maliciosa, el parcheo debe tratarse como urgente. Todos los navegadores basados en Chrome y Chromium deben actualizarse al menos a Chrome 141.0.7390.122/.123 en Windows y macOS, y 141.0.7390.122 en Linux, con actualizaciones automáticas habilitadas donde sea posible. Los equipos de seguridad deben verificar el estado del parche dirigiendo a los usuarios, o imponiéndolo a través de MDM, a visitar Configuración → Acerca de Chrome para que el navegador pueda obtener y aplicar las últimas correcciones. Al mismo tiempo, fortalecer el uso del navegador imponiendo el principio de menos privilegio en los endpoints, utilizando filtrado de URL y puertas de enlace web seguras para bloquear dominios maliciosos o de alto riesgo conocidos, y habilitando protecciones como aislamiento de sitios y políticas de extensiones estrictas. Finalmente, integrar CVE-2025-12036 en la gestión de vulnerabilidades para que cualquier sistema nuevo o raramente utilizado con versiones desactualizadas de Chrome sea rápidamente identificado y remediado.

Respuesta

Si sospechas que CVE-2025-12036 ha sido explotado en tu entorno, comienza aislando los endpoints afectados de redes no confiables mientras los mantienes accesibles para análisis forense. Conserva evidencia, incluyendo imágenes de memoria para el navegador y procesos relacionados, registros del sistema y aplicaciones (especialmente informes de choques de Chrome e historial del navegador), y capturas de red alrededor de la ventana de explotación sospechosa. Luego busca actividad post-explotación: mecanismos de persistencia inusuales como nuevas tareas programadas o servicios, binarios o scripts sospechosos dejados tras sesiones de navegación arriesgadas, y signos de robo de credenciales como acceso a almacenes de contraseñas, volcado de tokens, o eventos de autenticación anormales. Contiene y erradica eliminando archivos maliciosos y artefactos de persistencia, y reimagina los endpoints de alto riesgo si es necesario. Finalmente, recupéra y mejora rotando credenciales, actualizando contenido de detección para patrones de RCE en navegador/V8, y informando a usuarios y administradores sobre los riesgos de explotación por drive-by y prácticas de navegación más seguras relacionadas con CVE-2025-12036.