Microsoft ha corregido silenciosamente una vulnerabilidad de seguridad que ha sido explotada por múltiples actores de amenazas desde 2017. La corrección se incluyó en las actualizaciones de Patch Tuesday de noviembre de 2025.
La vulnerabilidad, rastreada como CVE-2025-9491 (puntuación CVSS: 7.8/7.0), es un fallo de “malinterpretación de la interfaz de usuario de archivos de acceso directo (LNK) de Windows” que podría conducir a la ejecución remota de código.
Detalles de la Vulnerabilidad (CVE-2025-9491)
La vulnerabilidad reside en cómo Windows maneja los archivos .LNK. El problema principal es que un archivo de acceso directo puede ser manipulado para ocultar comandos maliciosos al usuario que inspecciona el archivo a través de la interfaz de usuario.
- Ocultación de Comandos Maliciosos: Los atacantes pueden disfrazar los archivos LNK como documentos inofensivos. Al ver las propiedades del archivo en Windows, los comandos maliciosos son invisibles para el usuario.
- Truncamiento de Caracteres: La falla se basa en que, si bien el formato de archivo LNK permite cadenas de comandos muy largas (hasta 32.000 caracteres), el cuadro de diálogo de propiedades de Windows solo muestra los primeros 260 caracteres. Los atacantes aprovechan esto para ocultar la parte peligrosa del comando más allá de este límite de visualización.
Historial de Explotación por Actores de Amenazas
La vulnerabilidad fue revelada por primera vez en marzo de 2025 por la Iniciativa Zero Day (ZDI) de Trend Micro. En ese momento, se informó que 11 grupos de ciberespionaje patrocinados por el estado (procedentes de China, Irán, Corea del Norte y Rusia) la habían estado explotando desde 2017 en campañas de robo de datos y espionaje.
- Uso por XDSpy: HarfangLab informó que el clúster de ciberespionaje XDSpy abusó de la vulnerabilidad para distribuir el malware basado en Go llamado XDigo contra entidades gubernamentales de Europa del Este.
- Ataques de China-afiliados: Arctic Wolf detectó una campaña a fines de octubre de 2025 donde actores de amenazas afiliados a China utilizaron la falla para entregar el malware PlugX en ataques dirigidos a entidades diplomáticas y gubernamentales europeas.
La Respuesta de Microsoft y el Parche Silencioso
Inicialmente, Microsoft había declarado que la falla no cumplía con los requisitos para un “servicio inmediato”, argumentando que la interacción del usuario estaba involucrada y que el sistema ya advertía a los usuarios que el formato LNK no era confiable.
Sin embargo, tras las continuas explotaciones en la naturaleza, Microsoft lanzó un parche silencioso en noviembre de 2025. La solución implementada por Microsoft modifica el cuadro de diálogo de propiedades para mostrar la cadena de comandos completa, sin importar su longitud, resolviendo el problema de truncamiento.
Soluciones Alternativas y Conclusión
Antes del parche de Microsoft, 0patch había lanzado su propio microparche para la misma vulnerabilidad. Su enfoque era diferente: mostrar una advertencia al usuario cuando intentaba abrir un archivo LNK con más de 260 caracteres en el campo “Target”. Aunque el microparche no solucionaba la raíz del problema de diseño, buscaba interrumpir los ataques detectados en el mundo real.
El parche de Microsoft finalmente aborda la causa principal del problema de visualización en la interfaz de usuario, mitigando una vulnerabilidad que ha permitido a grupos de amenazas persistir en sus ataques durante años.
Referencias
- CVE-2025-9491
- ZDI-CAN-25373
- 0patch