Exploits y vulnerabilidades en el primer trimestre de 2025

En el primer trimestre de 2025 se continuó la publicación de vulnerabilidades que se habían descubierto y corregido en 2024, ya que algunos investigadores no habían podido divulgar los detalles hasta entonces. Esto relegó a parte de las nuevas vulnerabilidades, con identificadores CVE-2025-NNNNN, a un lugar menos visible. El registro de vulnerabilidades tiene ciertas particularidades: en algunos casos, entre la investigación del problema y la publicación del parche transcurre un retraso considerable, que se compensa al reservar de forma anticipada el identificador CVE. En cuanto a las tendencias en la explotación, observamos un aumento del uso de vulnerabilidades en versiones antiguas de sistemas operativos. Las dos principales razones para ello son la instalación tardía de actualizaciones y el lanzamiento activo de nuevas versiones del sistema operativo, donde se implementan mecanismos y componentes optimizados para prevenir la explotación de vulnerabilidades en determinados subsistemas.

Estadísticas: vulnerabilidades registradas

Esta sección contiene estadísticas sobre las vulnerabilidades registradas. Los datos se extrajeron del portal cve.org.

Número total de vulnerabilidades registradas y número de vulnerabilidades críticas, primer trimestre de 2024 y primer trimestre de 2025 (descargar)

El primer trimestre de 2025, al igual que los que lo precedieron, muestra una gran cantidad de vulnerabilidades registradas. La dinámica de su registro es similar a la de los años anteriores, así que nos centraremos en los nuevos datos que se pueden recopilar en las plataformas más populares. En este informe estudiaremos las características de las vulnerabilidades del sistema operativo Linux y el software de Microsoft, en particular el sistema operativo Windows.

Teniendo en cuenta que los desarrolladores del núcleo de Linux obtuvieron el estatus CVE Numbering Authority (CNA) y pueden asignar de manera independiente identificadores CVE a los problemas de seguridad detectados, toda la información sobre vulnerabilidades ahora puede obtenerse “de primera mano”.

Consideremos las vulnerabilidades del núcleo de Linux registradas en el primer trimestre de 2025, según sus tipos (CWE).

TOP 10 de CWE para vulnerabilidades del núcleo de Linux registradas en el primer trimestre de 2025 (descargar)

Para Linux, vemos una cantidad predominante de CWE con los siguientes identificadores:

• CWE-476: desreferenciación del puntero null (Null Pointer Dereference);
• CWE-416: problema de uso de recursos de memoria dinámica (Use After Free);
• CWE-667: manejo incorrecto del acceso a un recurso con el que interactúan varios hilos o procesos (Improper Locking);
• CWE-125: lectura fuera de los límites del búfer (Out-of-bounds Read);
• CWE-908: uso de un recurso no inicializado, por lo general se refiere a regiones de memoria operativa (Use of Uninitialized Resource).

Es común encontrarse con estos tipos de vulnerabilidades para el software del sistema. Sin embargo, vale decir que para explotar las vulnerabilidades de los CWE mencionados, los atacantes utilizan primitivos no triviales de lectura y escritura, ya que Linux tiene implementados mecanismos efectivos de protección contra exploits, como KASLR (núcleo address space layout randomization, una tecnología de randomización de la ubicación del espacio de direcciones del núcleo.

Ahora analicemos estadísticas similares del software de Microsoft. Como este desarrollador tiene muchos productos, también se han detectado varios problemas de seguridad en ellos, por lo que solo consideraremos los CWE más comunes, que incluyen las vulnerabilidades publicadas durante el primer trimestre de 2025.

TOP 10 CWE para las vulnerabilidades de productos de Microsoft registradas en el primer trimestre de 2025 (descargar)

Además de las CWE descritas más arriba, en el primer trimestre también se registraron con frecuencia vulnerabilidades de los siguientes tipos:

• CWE-122: desbordamiento de búfer en el montículo (Heap-based Buffer Overflow);
• CWE-787: vulnerabilidades de corrupción de memoria (Out-of-bounds Write).

En general, muchas CWE del TOP 10 para soluciones de software de Microsoft y el núcleo de Linux son idénticas o similares, lo que significa que las vulnerabilidades tienen principios afines. Por lo tanto, a menudo nos encontramos con la “portabilidad” de mecanismos de ataque de Linux a Windows y viceversa: los atacantes adaptan de uno a otro sistema operativo los exploits que funcionan. Este enfoque se aplica también a diversas soluciones de un mismo tipo de software.

Cabe señalar que las CWE indicadas se vienen observando desde hace tiempo, a pesar de los esfuerzos de los investigadores y desarrolladores. El conocimiento de los tipos de vulnerabilidades que se encuentran con mayor frecuencia en una plataforma específica permite entender qué herramientas pueden ser utilizadas para comprometer el sistema.

Estadísticas sobre la explotación de vulnerabilidades

Esta sección contiene estadísticas sobre el uso de exploits durante el primer trimestre de 2025. Los datos se obtuvieron en fuentes de acceso público y mediante nuestra telemetría.

Explotación de vulnerabilidades en Windows y Linux

En el primer trimestre de 2025, la cantidad de ataques con exploits para Windows aumentó en comparación con el mismo período del año pasado. Como antes, la mayor parte de los exploits detectados estaban dirigidos a productos de Microsoft Office. A pesar de que hoy en día se ofrecen versiones en la nube del paquete Office, las versiones vulnerables instaladas en equipos locales siguen siendo populares entre los usuarios.

Los productos de Kaspersky suelen detectar con mayor frecuencia exploits para la plataforma Windows en las siguientes vulnerabilidades antiguas:

• CVE-2018-0802: vulnerabilidad de ejecución remota de código en el componente Editor de ecuaciones.
• CVE-2017-11882: otra vulnerabilidad de ejecución remota de código que también afecta al Editor de ecuaciones;
• CVE-2017-0199: vulnerabilidad en Microsoft Office y WordPad que permite a un atacante tomar el control del sistema.

Estas tres vulnerabilidades siguieron siendo las más comunes a lo largo de 2024, y suponemos que esta tendencia continuará en el futuro.

A las tres principales vulnerabilidades, les siguen los problemas igualmente populares en WinRAR y en el propio sistema operativo Windows:

• CVE-2023-38831: una vulnerabilidad de WinRAR que consiste en el manejo incorrecto de objetos contenidos en el archivo comprimido.
• CVE-2024-35250: una vulnerabilidad del controlador ks.sys que está relacionada con la desreferenciación de un puntero no confiable y permite ejecutar código arbitrario;
• CVE-2022-3699: una vulnerabilidad del controlador de Lenovo Diagnostics que permite hacer llamadas sin restricciones a los drivers del controlador y, por lo tanto, trabajar con la memoria directamente en el núcleo.

Todas las vulnerabilidades mencionadas se pueden utilizar para elevar privilegios, y aquellas que afectan al núcleo y a los drivers pueden dar paso a que se comprometa todo el sistema, por lo que recomendamos instalar regularmente actualizaciones para el software correspondiente.

Dinámica del número de usuarios de Windows que se enfrentaron a exploits, del primer trimestre de 2024 al primer trimestre de 2025. El 100% es el número de usuarios que se enfrentaron a exploits en el primer trimestre de 2024 (descargar)

En el sistema operativo Linux, se han descubierto más exploits para las siguientes vulnerabilidades:

• CVE-2022-0847: vulnerabilidad universal conocida como Dirty Pipe, que permite elevar privilegios e interceptar el control de aplicaciones en ejecución;
• CVE-2019-13272: una vulnerabilidad de manejo incorrecto de privilegios heredados, que puede ser utilizada para su elevación;
• CVE-2021-3156: vulnerabilidad de desbordamiento de búfer en el montículo en la utilidad sudo, que permite elevar privilegios en el sistema.

Dinámica del número de usuarios de Linux que se enfrentaron a exploits, del primer trimestre de 2024 al primer trimestre de 2025. El 100% es el número de usuarios que se enfrentaron a exploits en el primer trimestre de 2024 (descargar)

Es muy importante actualizar a tiempo cualquier sistema operativo y software, además de instalar los parches cuando se publican. Sin embargo, para el núcleo de Linux y las aplicaciones que se suministran en la mayoría de las distribuciones, la actualización se convierte en un proceso crítico, ya que una vulnerabilidad puede comprometer todo el sistema.

Los exploits publicados más difundidos

Distribución de los exploits publicados para vulnerabilidades, según plataforma, cuarto trimestre de 2024 (descargar)

Distribución de los exploits publicados para vulnerabilidades, por plataforma, primer trimestre de 2025 (descargar)

En el primer trimestre de 2025, los sistemas operativos, como el software más complejo, continúan siendo los más numerosos entre los exploits publicados. Esto se debe al gran volumen de su código y a la cantidad de componentes del sistema operativo, así como a su importancia crítica para el funcionamiento del dispositivo. Además, observamos un crecimiento constante en el número de exploits para navegadores, una tendencia que también se mantuvo durante todo el año pasado. También aumentó la proporción de exploits para vulnerabilidades en productos de Microsoft Office.

Uso de vulnerabilidades en ataques APT

Hemos estudiado los datos sobre los ataques de grupos APT y hemos determinado qué vulnerabilidades se utilizaron con más frecuencia en el primer trimestre de 2025. La siguiente clasificación se basa en nuestra telemetría, investigaciones y datos de fuentes abiertas.

TOP 10 de vulnerabilidades explotadas en ataques APT, primer trimestre de 2025 (descargar)

En primer lugar, la mayoría de las técnicas de los atacantes tienen el objetivo de obtener acceso a la red local de la víctima, por lo que las vulnerabilidades más populares siempre serán las de los dispositivos perimetrales y el software que puede funcionar como servidor. Cabe señalar que ha regresado al TOP 10 la conocida vulnerabilidad crítica Zerologon, que permite obtener acceso al controlador de dominio.

La única excepción a esta tendencia es el software utilizado para acceder a la información: son aplicaciones para la edición de texto y el intercambio de archivos.

Vulnerabilidades interesantes

Esta sección contiene las vulnerabilidades más interesantes que se publicaron en el primer trimestre de 2025.

ZDI-CAN-25373: vulnerabilidad de alteración de la visualización de parámetros de archivos .lnk en el sistema operativo Windows

La primera vulnerabilidad de la lista de las más interesantes se ha venido utilizando durante bastante tiempo para lanzar ataques a los usuarios, pero aún no ha recibido un identificador CVE. Afecta los archivos .lnk en el sistema operativo Windows. El problema radica en que el explorador estándar no muestra por completo los datos establecidos como parámetros en el acceso directo de la aplicación. En el campo Objeto, después de una ruta legítima que no genera sospechas, los atacantes colocan símbolos adicionales, como espacios o saltos de línea, y luego comandos que pueden poner en peligro el sistema. Asimismo, en las propiedades del acceso directo solo se muestra la primera parte de la ruta:

Ejemplo de propiedad de acceso directo con caracteres adicionales que no se muestran por completo en el explorador

Al abrir un acceso directo de este tipo, se ejecutan comandos ocultos para el usuario. Por ejemplo, al final de la línea Objeto pueden indicarse argumentos para enviar una solicitud de descarga de una carga útil a través de powershell.exe. Cabe destacar el factor psicológico de esta vulnerabilidad: un archivo con actividad maliciosa oculta de esta manera confunde al usuario, que no ve las principales acciones que se ejecutarán al abrir el archivo.

CVE-2025-21333: vulnerabilidad de desbordamiento de búfer en el montículo del controlador vkrnlintvsp.sys

Vulnerabilidad de desbordamiento de búfer en el grupo de memoria paginada del núcleo, que se utilizó para lanzar ataques de día cero en los sistemas de los usuarios. El controlador vulnerable vkrnlintvsp.sys, diseñado para trabajar con Hyper-V, maneja incorrectamente los punteros a las estructuras del pool de memoria. Como resultado, el controlador escribe datos en una dirección fuera del área de memoria asignada en el pool, lo que da a los atacantes la oportunidad de ejecutar código arbitrario o elevar privilegios.

Hay que destacar que la explotación de la vulnerabilidad es posible al crear un proceso en Windows Sandbox. La función vulnerable se llama VkiRootAdjustSecurityDescriptorForVmwp, lo que en sí mismo sugiere que un descriptor de seguridad cuyo tamaño exceda el permitido puede ser una condición suficiente para activar la vulnerabilidad. En tal caso, el contador para trabajar con la memoria que se utiliza para calcular la longitud del descriptor se desbordará, lo que permitirá sobrescribir y leer datos arbitrarios de tamaño 0xffff, así como salir del entorno aislado.

CVE-2025-24071: vulnerabilidad de fuga de hash NetNTLM en el indexador del sistema de archivos

Esta funcionalidad, incorporada en el explorador de cualquier sistema operativo Windows, se ha convertido en una herramienta para el robo de hashes NetNTLM. Los delincuentes enviaban un archivo malicioso con la extensión .library-ms, en el cual se especificaba determinado directorio. Cuando este archivo ingresaba al sistema de archivos de la víctima, se activaba automáticamente el mecanismo de indexación, que abría el directorio indicado. Luego, el sistema operativo realizaba la autenticación con el protocolo NTLM sin avisar al usuario, lo que provocaba la exposición de los hashes NetNTLM.

Conclusiones y recomendaciones

El número de vulnerabilidades registradas en el primer trimestre de 2025 puede parecer engañoso. Una de las posibles razones de la disminución de su número es que los resultados de las investigaciones de seguridad o las descripciones de vulnerabilidades pueden publicarse algún tiempo después de haber sido detectadas. Por lo tanto, es crucial instalar las actualizaciones en todo el software y dispositivos de manera oportuna.

Para mantenerse seguro, es necesario reaccionar con rapidez al cambiante panorama de amenazas, así como:

• organizar un monitoreo continuo de su infraestructura, prestando especial atención al perímetro;
• reforzar la administración de parches: asegurar la instalación inmediata de las correcciones de seguridad. Para configurar y automatizar la administración de vulnerabilidades y parches, se pueden utilizar soluciones como Kaspersky Vulnerability and Patch Management y Kaspersky Vulnerability Data Feed;
• utilizar soluciones confiables que permitan detectar y bloquear software malicioso en dispositivos corporativos, y herramientas integrales que incluyan escenarios de respuesta a incidentes, programas de capacitación para empleados y una base de datos sobre ciberamenazas actualizada.