El 9 de diciembre de 2025, el Centro de Respuesta de Seguridad de Microsoft (MSRC) soltó un bombazo durante su "martes de parches" mensual: un virus crítico Vulnerabilidad de día 0 en Windows PowerShellrastreado como CVE-2025-54100.
Con un Puntuación CVSS de 7,8 (Alta)Esta vulnerabilidad afecta a una franja masiva del ecosistema Windows, desde los servidores heredados hasta las últimas versiones de Windows 11. Debido a que PowerShell está profundamente integrado en la estructura del sistema operativo, este fallo ofrece a los atacantes una peligrosa oportunidad de "vivir fuera de la tierra" (LotL), lo que les permite ejecutar código malicioso utilizando herramientas nativas del sistema de confianza.
Tanto si eres un administrador de sistemas que gestiona una granja de servidores como un investigador de seguridad, ignorar este parche no es una opción. Esta guía proporciona un desglose técnico de la falla, la matriz oficial del parche y la refactorización de código necesaria para mantener sus scripts funcionando de forma segura.
Windows PowerShell 0-Day CVE-2025-54100
Profundización técnica: Mecánica de CVE-2025-54100
Para comprender la gravedad de este problema, debemos analizar la debilidad subyacente: CWE-77 (Neutralización indebida de elementos especiales utilizados en un comando).
La lógica de la vulnerabilidad
El problema principal radica en cómo Windows PowerShell desinfecta la entrada del usuario antes de pasarla al intérprete de la línea de comandos. Cuando una aplicación o script construye un comando de PowerShell utilizando una entrada que no es de confianza sin el filtrado adecuado, se abre la puerta a Inyección de comandos.
Escenario de ataque (prueba conceptual)
Descargo de responsabilidad: El siguiente código sólo tiene fines educativos.
Imagine un script administrativo legítimo diseñado para leer archivos de registro basados en la entrada del usuario:
En un escenario estándar, un usuario entra en app.log.
Sin embargo, si un atacante explota CVE-2025-54100 en un sistema sin parches, podría entrar:
app.log; Start-Process calc.exe
El analizador sintáctico, al no neutralizar el punto y coma (;), lo interpreta como dos órdenes distintas:
Lee el registro:Get-Content C:\\\Logs\\app.log
Ejecutar carga útil:Inicio-Proceso calc.exe (En un ataque real, sería un descargador de ransomware o una baliza C2).
El vector de ataque: "Local" pero letal
Microsoft clasifica esto como un vector de ataque "Local". Esto significa que un atacante normalmente necesita:
Acceso de bajo nivel al sistema, O
Convencer a un usuario para que ejecute un archivo malicioso (Ingeniería Social/Phishing).
Una vez conseguido, pueden aprovechar esta inyección para escalar privilegios o moverse lateralmente por la red.
Windows PowerShell 0-Day CVE-2025-54100 PoC
La matriz de parches: Identifique sus actualizaciones críticas
Microsoft ha publicado actualizaciones de seguridad de emergencia. Los administradores de TI deben dar prioridad a las siguientes KB inmediatamente a través de WSUS, SCCM o descarga manual.
Versión del SO
Gravedad
KB crítico ID de parche
Notas sobre la implantación
Windows Server 2025
Alta
KB5072033
Requiere reinicio
Windows 11 (24H2 / 25H2)
Alta
KB5074204
Actualización acumulativa
Windows Server 2022
Alta
KB5074204
Instalación prioritaria
Windows Server 2019
Alta
KB5074353
–
Windows 10 (22H2)
Alta
KB5071546
Actualización disponible sólo para seguridad
Windows Server 2012 R2
Medio
KB5071544
Sólo ESU (Extended Support)
Advertencia crítica: Dado que este parche modifica los binarios centrales de PowerShell, es obligatorio reiniciar el sistema. Asegúrese de programar las ventanas de mantenimiento en consecuencia para evitar interrupciones del servicio.
El "Gotcha": Arreglar los scripts rotos tras el parcheado
La seguridad suele ir en detrimento de la comodidad. Las actualizaciones para CVE-2025-54100 (específicamente dentro de KB5074204 y KB5074353) introducen controles de seguridad más estrictos en las solicitudes web.
El problema: Invoke-WebRequest Fallas
Después de aplicar el parche, es posible que sus scripts de automatización fallen con el siguiente error:
"El contenido de la respuesta no se puede analizar porque el motor de Internet Explorer no está disponible o la configuración de primer lanzamiento de Internet Explorer no está completa".
Esto sucede porque Microsoft está cortando finalmente el vínculo entre PowerShell y el motor de análisis heredado de Internet Explorer para reducir la superficie de ataque.
La solución: Refactorización del código
Debe actualizar sus scripts para que dejen de depender de IE para el análisis del DOM. La solución es forzar el uso del Análisis sintáctico básico modo.
El código roto (Legado)
PowerShell
# Esto depende del motor IE, que ahora está restringido o eliminado $response = Invoke-WebRequest -Uri "" Write-Output $response.Content
El código seguro (buenas prácticas)
PowerShell
# Añade el modificador -UseBasicParsing para mayor velocidad, seguridad y compatibilidad $response = Invoke-WebRequest -Uri "" -UseBasicParsing Write-Output $response.Content
Consejo profesional para administradores:
Utilice una búsqueda regex en su IDE (VS Code / ISE) para escanear su repositorio de scripts:
La aplicación de parches es reactiva. Para protegerse de futuros días 0, debe adoptar una estrategia de "defensa en profundidad" para PowerShell.
A. Aplicar el modo de lenguaje restringido
Para los usuarios no administrativos, PowerShell debe ejecutarse en Modo de lenguaje restringido. Esto limita seriamente la capacidad de llamar a las API de Windows o compilar código .NET arbitrario.
PowerShell
`# Verifica tu modo actual $ExecutionContext.SessionState.LanguageMode
Salida de destino para usuarios estándar: ConstrainedLanguage`
B. Habilitar el Registro de Bloques de Script
A los atacantes les encanta PowerShell porque se ejecuta en memoria (sin archivos). Para atraparlos, debe registrar el código real que se ejecuta.
Ruta GPO:Configuración del equipo > Plantillas administrativas > Componentes de Windows > Windows PowerShell > Activar el registro de bloqueos de scripts de PowerShell.
C. Reglas de detección SIEM
Actualice las reglas de supervisión de su SOC para detectar posibles intentos de explotación:
Jerarquía de procesos: Alerta si powershell.exe es generado por las aplicaciones de Office (Word, Excel).
Argumentos sospechosos: Busque comandos muy ofuscados o el uso de EncodedCommand.
Evento ID 4104: Escanee los registros de bloque de scripts en busca de palabras clave como Invoke-Expression o IEX combinadas con llamadas de red.
La revelación de CVE-2025-54100 sirve de duro recordatorio: La identidad y la configuración son el nuevo perímetro. Mientras que la solución inmediata es aplicar las KBs de diciembre (KB5072033/KB5074204), la solución a largo plazo reside en endurecer su entorno contra el abuso de herramientas nativas.
Su plan de acción:
Auditoría: Analice su red en busca de puntos finales de Windows sin parches.
Parche: Despliegue inmediatamente las actualizaciones de seguridad de diciembre.
Refactorizar: Actualice sus scripts de automatización para utilizar UseBasicParsing.
El panorama de la explotación de los navegadores cambió radicalmente en 2025. Durante años, la narrativa estuvo dominada por los bugs "Use-After-Free" (UAF) en
2025 ha sido un año tumultuoso para los investigadores de seguridad de los navegadores. Mientras Google sigue reforzando las defensas de Chrome -sobre todo con el
