Según ACROS Security’s 0patch, Microsoft ha abordado de manera discreta una vulnerabilidad de seguridad que ha sido aprovechada por diversos actores maliciosos desde 2017, como parte de las actualizaciones de los parches de noviembre de 2025.

La vulnerabilidad en cuestión es la CVE-2025-9491 (CVSS: 7.8/7.0), definida como una falla de interpretación errónea en los archivos de acceso directo de Windows (LNK) que podría permitir la ejecución remota de código.

«La vulnerabilidad se encuentra en la gestión de archivos .LNK. Datos manipulados en un archivo .LNK pueden hacer que el contenido dañino sea invisible para el usuario que lo revisa a través de la interfaz de Windows. Un atacante puede aprovechar esta falla para ejecutar código en el contexto del usuario actual».

En términos simples, estos archivos de acceso directo están diseñados para ocultar los comandos malintencionados que ejecutan al mostrar sus propiedades en Windows, utilizando múltiples espacios en blanco. Para que se active su ejecución, los atacantes podrían disfrazar estos archivos como documentos aparentemente inocuos.

Los detalles de la vulnerabilidad fueron divulgados por primera vez en marzo de 2025, cuando la iniciativa Zero Day Initiative (ZDI) informó que 11 grupos respaldados por estados de China, Irán, Corea del Norte y Rusia habían explotado la falla en campañas de robo de datos, espionaje y delitos financieros, algunas de las cuales se remontan a 2017. Este problema también es conocido como ZDI-CAN-25373, y se puede consultar el informe técnico y el video sobre su explotación.

En ese momento, Microsoft afirmó que la vulnerabilidad no era crítica y que su corrección se consideraría en futuras versiones. También indicó que el formato LNK está bloqueado en Outlook, Word, Excel, PowerPoint y OneNote, de modo que cualquier intento de abrir esos archivos generaría una advertencia para que los usuarios eviten abrir documentos de fuentes desconocidas.

Posteriormente, un informe de HarfangLab reveló que un grupo de ciberespionaje conocido como XDSpy había utilizado la vulnerabilidad para distribuir XDigo, un malware basado en Go, en ataques dirigidos a entidades gubernamentales en Europa del Este, justo el mes de la divulgación de la falla.

A finales de octubre de 2025, el problema volvió a aparecer cuando Arctic Wolf detectó una campaña en la que actores maliciosos vinculados a China utilizaron la falla para atacar a entidades diplomáticas y gubernamentales en Europa, distribuyendo el malware PlugX.

Esta situación llevó a Microsoft a emitir una guía formal sobre CVE-2025-9491, reafirmando su decisión de no parchear el error y argumentando que lo considera una vulnerabilidad «debido a la interacción del usuario y a la advertencia que el sistema proporciona sobre la falta de fiabilidad de este formato».

0patch señaló que la vulnerabilidad no solo oculta la parte maliciosa del comando en el campo «Objetivo», sino que un archivo LNK permite que los argumentos sean extremadamente largos (decenas de miles de caracteres), mientras que el cuadro de diálogo «Propiedades» solo muestra los primeros 260 caracteres, ignorando el resto.

Esto implica que un atacante puede generar un archivo LNK que ejecute un comando extenso, con solo los primeros 260 caracteres visibles para el usuario en sus propiedades, truncando el resto. Según Microsoft, la estructura del archivo, teóricamente, permite cadenas de hasta 32,000 caracteres.

El parche discreto lanzado por Microsoft soluciona el problema al mostrar el comando completo en el cuadro de diálogo de Propiedades, independientemente de su longitud. Sin embargo, esto depende de que existan archivos LNK con más de 260 caracteres en su campo «Destino».

El microparche de 0patch aborda la misma falla de manera diferente: emitiendo una advertencia cuando los usuarios intentan abrir un archivo LNK que supera los 260 caracteres.

«Aunque es posible crear accesos directos maliciosos que contengan menos de 260 caracteres, creemos que interrumpir los ataques reales detectados puede hacer una gran diferencia para las víctimas», aseveró.

Fuente:
THN


Con Información de blog.segu-info.com.ar