Según el parche 0 de ACROS Security, Microsoft incorporó silenciosamente una falla de seguridad que ha sido explotada por múltiples atacantes desde 2017 como parte de la actualización del martes de parches de noviembre de 2025 de la compañía.
La vulnerabilidad en cuestión es CVE-2025-9491 (puntuación CVSS: 7.8/7.0), que se describe como una vulnerabilidad de interpretación errónea de la interfaz de usuario de archivos de accesos directos de Windows (LNK) que podría conducir a la ejecución remota de código.
Según la descripción de la Base de datos nacional de vulnerabilidades (NVD) del NIST, «la falla específica existe en el manejo de archivos .LNK». «Los datos elaborados en un archivo .LNK podrían ocultar contenido peligroso dentro del archivo para que un usuario lo inspeccione a través de la interfaz de usuario proporcionada por Windows. Un atacante podría aprovechar esta vulnerabilidad para ejecutar código en el contexto del usuario actual».
En otras palabras, estos archivos de acceso directo se crean utilizando varios caracteres de «espacio en blanco» para ocultar los comandos maliciosos ejecutados por el archivo de acceso directo a los ojos del usuario cuando ve sus propiedades en Windows. Un atacante podría disfrazar el archivo como un documento benigno para poder ejecutarlo.
Los detalles de la falla surgieron por primera vez en marzo de 2025, cuando la Iniciativa de Día Cero (ZDI) de Trend Micro reveló que el problema estaba siendo explotado por 11 grupos patrocinados por estados de China, Irán, Corea del Norte y Rusia como parte de campañas de robo de datos, espionaje y ganancias financieras. Algunos de ellos datan de 2017. Este problema también se rastrea como ZDI-CAN-25373.
En ese momento, Microsoft le dijo a The Hacker News que la falla no cumplía con los criterios para servicio inmediato y que consideraría solucionarla en una versión futura. También notamos que el formato de archivo LNK está bloqueado en Outlook, Word, Excel, PowerPoint y OneNote, lo que hace que se advierta a los usuarios que no abran archivos de fuentes desconocidas cuando intenten abrir dichos archivos.
La falla se reveló más tarde ese mismo mes, con un informe de HarfangLab que encontró que la falla fue explotada por un grupo de ciberespionaje conocido como XDSpy para distribuir malware basado en Go llamado XDigo como parte de un ataque dirigido a agencias gubernamentales en Europa del Este.
Luego, a finales de octubre de 2025, el problema surgió por tercera vez después de que Arctic Wolf señalara una campaña de ataque en la que actores de amenazas vinculados a China entregaron malware PlugX, armado por fallas en ataques dirigidos a instituciones diplomáticas y gubernamentales europeas.
Este desarrollo llevó a Microsoft a emitir una guía formal sobre CVE-2025-9491, reiterando su decisión de no parchear y enfatizando que lo considera una vulnerabilidad «debido a la necesidad de interacción del usuario y al hecho de que el sistema ya le ha advertido que este formato no es de confianza».
Según 0patch, la vulnerabilidad va más allá de simplemente ocultar la parte maliciosa del comando del campo Destino; también está el hecho de que en los archivos LNK, «el argumento de destino puede ser una cadena muy larga (decenas de miles de caracteres), pero sólo los primeros 260 caracteres se muestran en el cuadro de diálogo de propiedades y el resto se trunca silenciosamente».
Esto también significa que un atacante malintencionado puede crear un archivo LNK que puede ejecutar comandos largos. Los usuarios que vean las propiedades de este archivo solo verán los primeros 260 caracteres del archivo. El resto de la cadena de comando simplemente se trunca. Según Microsoft, la estructura de este archivo permite teóricamente cadenas de hasta 32.000 caracteres.
Un parche silencioso lanzado por Microsoft soluciona el problema mostrando el comando de destino completo con argumentos en el cuadro de diálogo (Propiedades), independientemente de su longitud. Sin embargo, este comportamiento depende de la posibilidad de que haya archivos de acceso directo que tengan más de 260 caracteres en el campo (destino).
El microparche de 0patch para la misma falla toma una ruta diferente al mostrar una advertencia cuando los usuarios intentan abrir archivos LNK que tienen más de 260 caracteres.
«Aunque los atajos maliciosos se pueden construir en menos de 260 caracteres, creemos que interrumpir ataques reales que realmente se detectan puede marcar una gran diferencia para aquellos a quienes se dirige», dijo la compañía.
Hacker News se comunicó con Microsoft para solicitar comentarios y actualizará este artículo si la empresa responde.
Source link
