Microsoft ha abordado cuatro vulnerabilidades de elevación de privilegios en su servicio de firewall de defensor de Windows, todo calificado como “importante” en severidad.
Los defectos de seguridad se detallaron en el lanzamiento de actualización de seguridad del 9 de septiembre de Security de Microsoft. Si se explotan, estas vulnerabilidades podrían permitir que un atacante autenticado obtenga mayores privilegios en un sistema afectado.
Las cuatro vulnerabilidades se rastrean como CVE-2025-53808, CVE-2025-54104, CVE-2025-54109 y CVE-2025-54915. Los cuatro permiten que un atacante local intensifique sus privilegios, lo que representa un riesgo significativo para la integridad del sistema.
En el momento de la divulgación, Microsoft declaró que ninguna de las vulnerabilidades había sido revelada públicamente o explotada activamente en la naturaleza.
Naturaleza de las vulnerabilidades del firewall
Tres de las cuatro vulnerabilidades (CVE-2025-54104, CVE-2025-54109 y CVE-2025-54915) son causadas por un defecto de “confusión de tipo” dentro del servicio de firewall de defensa de Windows.
Tipo de confusión es una clase común de error de seguridad de la memoria donde un programa intenta acceder a un recurso con un tipo incompatible, lo que lleva a un comportamiento inesperado y a menudo inseguro.
En este caso, le permite a un atacante autorizado desencadenar una condición que conduce a la escalada de privilegios locales.
La cuarta vulnerabilidad, CVE-2025-53808, también es una elevación de servicio de defecto de privilegios, aunque el aviso de Microsoft no lo especifica como un tipo de confusión de tipo.
El hilo común entre los cuatro es el resultado potencial: un usuario privilegiado que obtiene derechos de sistema elevados.
Comprender el escenario de ataque
Para explotar cualquiera de estas vulnerabilidades, un atacante primero debe haber autenticado el acceso a la máquina de destino. Además, la explotación requiere que la cuenta del atacante sea miembro de un grupo de usuarios específico y restringido.
Este alto requisito previo se refleja en la métrica CVSS “Privilegios requeridos: Alto (PR: H)”, lo que indica que un atacante casual o no autenticado no puede aprovechar estos defectos.
Una exploit exitosa permitiría al atacante elevar sus privilegios de un “nivel de integridad medio” al “servicio local”.
Si bien no es un control completo del sistema o a nivel de administrador, obtener privilegios de servicios locales proporciona capacidades significativas, lo que permite que un atacante acceda y manipule una amplia gama de recursos del sistema, instale software malicioso o comprometa aún más el host afectado.
Evaluación y mitigación de Microsoft
La evaluación de explotabilidad de Microsoft indica que un ataque es “menos probable” para CVE-2025-53808, CVE-2025-54104 y CVE-2025-54109.
Para CVE-2025-54915, la evaluación es aún más baja, a “la explotación poco probable”. Este análisis se basa en los altos privilegios requeridos para que un atacante esté en condiciones de explotar los defectos.
A pesar de la baja probabilidad de explotación, la calificación de gravedad “importante” subraya el peligro potencial si un atacante cumple con los requisitos previos necesarios.
Microsoft ha lanzado actualizaciones de seguridad para parchear estas vulnerabilidades en todas las versiones afectadas de Windows.
Se recomienda encarecidamente a los administradores y usuarios del sistema que apliquen las actualizaciones de seguridad de septiembre de 2025 de inmediato para proteger sus sistemas y mitigar el riesgo de posibles ataques de escalada de privilegios.
