La Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) añadió este lunes cuatro vulnerabilidades de Microsoft a su catálogo de Vulnerabilidades Conocidas y Explotadas (KEV), ordenando a las agencias federales aplicar los parches correspondientes antes del 27 de abril.
La lista incluye fallos que van desde exploits recientes hasta un error que Microsoft corrigió en 2012. La CISA advirtió que estas vulnerabilidades funcionan como vectores de ataque frecuentes para actores maliciosos y representan riesgos significativos para las entidades federales.
Una de las vulnerabilidades, la CVE-2023-21529, consiste en un problema de deserialización en Microsoft Exchange Server. Los analistas de amenazas de Microsoft advirtieron recientemente que el grupo criminal Storm-1175 utiliza este fallo para obtener acceso inicial a las organizaciones con el fin de robar datos y desplegar el ransomware Medusa.
Fallos antiguos resurgen en ataques activos
Quizás lo más sorprendente sea la CVE-2012-1854, una vulnerabilidad de carga de librerías insegura en Microsoft Visual Basic for Applications. Aunque Microsoft lanzó un parche completo para este fallo en noviembre de 2012, actualmente se está utilizando en ataques activos.
Otras vulnerabilidades añadidas al catálogo KEV incluyen la CVE-2025-60710, un error de seguimiento de enlaces en Windows que permite la escalada de privilegios, y la CVE-2023-36424, un fallo en el controlador Windows Common Log File System.
Aunque la CISA indica que se desconoce el uso específico de ransomware para los cuatro fallos, la agencia confirmó que la vulnerabilidad de Exchange Server está vinculada a actividades de ransomware. Microsoft ya ha parcheado las vulnerabilidades más recientes, pero el mandato de la agencia busca cerrar la ventana de oportunidad para los atacantes que apuntan a sistemas federales sin actualizar.
La CISA también actualizó su catálogo el lunes con dos vulnerabilidades de Adobe. Estas incluyen un error de tipo "use-after-free" en Acrobat (CVE-2020-9715) y un fallo de contaminación de prototipos (CVE-2026-34621) que afectó tanto a Acrobat como a Reader tras meses de explotación de día cero.
