CSIRT Panam\u00e1 Aviso 2025-sep-11 \u2013 Vulnerabilidades Cr\u00edticas en Microsoft Office
Gravedad: ALTA
Fecha de publicaci\u00f3n: Septiembre 11, 2025
\u00daltima revisi\u00f3n: Septiembre 11, 2025
Fuente: https:\/\/cybersecuritynews.com\/critical-microsoft-office-vulnerabilities\/<\/p>\n\n\n\n
Sistemas afectados
Microsoft Office 2016, 2019, 2021, LTSC 2021, LTSC 2024
Microsoft 365 Apps for Enterprise
Microsoft Office para Mac y Android
Componentes relacionados con procesamiento de documentos OLE y funcionalidades de vista previa (Preview Pane)<\/p>\n\n\n\n
I. Descripci\u00f3n
Se han identificado m\u00faltiples vulnerabilidades cr\u00edticas en Microsoft Office que permiten ejecuci\u00f3n remota de c\u00f3digo (RCE) al procesar documentos maliciosamente manipulados. Algunas de estas vulnerabilidades pueden ser explotadas sin requerir interacci\u00f3n directa del usuario, \u00fanicamente mediante la previsualizaci\u00f3n del archivo (vista previa en el Explorador de archivos).<\/p>\n\n\n\n
Las vulnerabilidades registradas incluyen:<\/p>\n\n\n\n
CVE-2025-47162: Desbordamiento de b\u00fafer en memoria din\u00e1mica (heap overflow). Permite ejecuci\u00f3n de c\u00f3digo remoto al mostrar la vista previa de un archivo especialmente dise\u00f1ado.
CVE-2025-47953: Uso de memoria despu\u00e9s de su liberaci\u00f3n (use-after-free) en procesamiento de nombres de recurso, explotable con bajo nivel de interacci\u00f3n.
CVE-2025-47164: Otra variante de use-after-free, que puede permitir ejecuci\u00f3n de c\u00f3digo si se abre un archivo malicioso.
CVE-2025-47167: Confusi\u00f3n de tipos (type confusion) al procesar objetos OLE, con posibilidad de ejecuci\u00f3n arbitraria de c\u00f3digo.<\/p>\n\n\n\n
Microsoft ha calificado estas vulnerabilidades como cr\u00edticas y ha publicado actualizaciones de seguridad para mitigarlas. A la fecha del presente aviso, algunas versiones espec\u00edficas de Office LTSC para Mac a\u00fan no cuentan con parche disponible, aunque se espera su liberaci\u00f3n en los pr\u00f3ximos d\u00edas.<\/p>\n\n\n\n
II. Impacto
La explotaci\u00f3n de estas vulnerabilidades podr\u00eda permitir a un atacante ejecutar c\u00f3digo malicioso con los privilegios del usuario afectado, comprometiendo la confidencialidad, integridad y disponibilidad de la informaci\u00f3n.<\/p>\n\n\n\n
En entornos empresariales, especialmente aquellos donde se reciben documentos por canales externos (correo, servicios en la nube, unidades compartidas), el riesgo de explotaci\u00f3n se considera alto, particularmente si est\u00e1 habilitada la funcionalidad de vista previa de documentos en sistemas Windows.<\/p>\n\n\n\n
La explotaci\u00f3n exitosa podr\u00eda conllevar a:<\/p>\n\n\n\n
Instalaci\u00f3n de malware
Robo de informaci\u00f3n confidencial
Movimiento lateral dentro de la red
Compromiso total del dispositivo<\/p>\n\n\n\n
III. Referencia a soluciones, herramientas e informaci\u00f3n
Actualizar Microsoft Office: Aplicar inmediatamente las actualizaciones de seguridad publicadas por Microsoft para corregir las CVE identificadas.
Deshabilitar Preview Pane: En entornos donde a\u00fan no se ha aplicado el parche, se recomienda desactivar la vista previa de archivos para reducir el riesgo de ejecuci\u00f3n autom\u00e1tica.
Restringir privilegios de usuario: Limitar el uso de cuentas con privilegios administrativos para mitigar el impacto de posibles explotaciones.
Sensibilizaci\u00f3n del usuario: Capacitar al personal para evitar la apertura de documentos sospechosos provenientes de fuentes no confiables.
Antivirus y EDR: Asegurar que se cuente con soluciones de seguridad actualizadas que puedan detectar comportamientos an\u00f3malos.
Monitoreo y registros: Revisar logs y actividades recientes relacionadas con documentos adjuntos y comportamiento de procesos asociados a Office.<\/p>\n\n\n\n
IV. Informaci\u00f3n de contacto
CSIRT PANAM\u00c1
Computer Security Incident Response Team
Autoridad Nacional para la Innovaci\u00f3n Gubernamental<\/p>\n\n\n\n
E-Mail: incidentes@cert.pa
E-Mail: info@cert.pa
Tel\u00e9fono: +507 520-CERT (2378)
Web: https:\/\/cert.pa
Key ID: 16F2B124<\/p>\n\n\n\n
<\/p>\n","protected":false},"excerpt":{"rendered":"
CSIRT Panam\u00e1 Aviso 2025-sep-11 \u2013 Vulnerabilidades Cr\u00edticas en Microsoft OfficeGravedad: ALTAFecha de publicaci\u00f3n: Septiembre 11, 2025\u00daltima revisi\u00f3n: Septiembre 11, 2025Fuente: https:\/\/cybersecuritynews.com\/critical-microsoft-office-vulnerabilities\/ Sistemas afectadosMicrosoft Office 2016, 2019, 2021, LTSC 2021, LTSC 2024Microsoft 365 Apps for EnterpriseMicrosoft…<\/p>\n","protected":false},"author":5,"featured_media":4719,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"om_disable_all_campaigns":false,"_monsterinsights_skip_tracking":false,"_monsterinsights_sitenote_active":false,"_monsterinsights_sitenote_note":"","_monsterinsights_sitenote_category":0,"_uf_show_specific_survey":0,"_uf_disable_surveys":false,"footnotes":""},"categories":[4],"tags":[72,9,92,73,80],"class_list":["post-4718","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-avisos-de-seguridad","tag-avisos-de-seguridad","tag-microsoft","tag-office","tag-parches","tag-vulnerabilidad"],"_links":{"self":[{"href":"https:\/\/cert.pa\/index.php?rest_route=\/wp\/v2\/posts\/4718","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/cert.pa\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/cert.pa\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/cert.pa\/index.php?rest_route=\/wp\/v2\/users\/5"}],"replies":[{"embeddable":true,"href":"https:\/\/cert.pa\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=4718"}],"version-history":[{"count":1,"href":"https:\/\/cert.pa\/index.php?rest_route=\/wp\/v2\/posts\/4718\/revisions"}],"predecessor-version":[{"id":4720,"href":"https:\/\/cert.pa\/index.php?rest_route=\/wp\/v2\/posts\/4718\/revisions\/4720"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/cert.pa\/index.php?rest_route=\/wp\/v2\/media\/4719"}],"wp:attachment":[{"href":"https:\/\/cert.pa\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=4718"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/cert.pa\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=4718"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/cert.pa\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=4718"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}