Según 0patch de ACROS Security, como parte de las actualizaciones del martes de parches de la compañía en noviembre de 2025, Microsoft ha parcheado silenciosamente una vulnerabilidad de seguridad que ha sido explotada por múltiples actores de amenazas desde 2017.
La falla de seguridad en cuestión es CVE-2025-9491 (Puntuación CVSS: 7.8/7.0), descrita como una vulnerabilidad de interpretación errónea de la interfaz de usuario en archivos de acceso directo de Windows (LNK) que podría conducir a la ejecución remota de código.
“La falla específica existe en el procesamiento de archivos .LNK”, dice una descripción en la Base de datos nacional de vulnerabilidades (NVD) del NIST. “Los datos manipulados en un archivo .LNK podrían hacer que el contenido peligroso del archivo sea invisible para un usuario que revise el archivo a través de la interfaz de usuario proporcionada por Windows. Un atacante podría aprovechar esta vulnerabilidad para ejecutar código en el contexto del usuario actual”.
En otras palabras, estos archivos de acceso directo están diseñados de tal manera que al visualizar sus propiedades en Windows, los comandos maliciosos que ejecutan quedan ocultos a la vista del usuario mediante el uso de varios “espacios”. Para desencadenar su ejecución, los atacantes podrían disfrazar los archivos como documentos inofensivos.
Los detalles de la falla surgieron por primera vez en marzo de 2025, cuando la Iniciativa de Día Cero (ZDI) de Trend Micro reveló que el problema había sido explotado por 11 grupos patrocinados por estados de China, Irán, Corea del Norte y Rusia en robo de datos, espionaje y campañas con motivación financiera, algunas de las cuales se remontaban a 2017. El problema también se rastrea como ZDI-CAN-25373.
En ese momento, Microsoft le dijo a The Hacker News que el error no cumplía con los requisitos para una solución inmediata y que consideraría solucionarlo en una versión futura. También señaló que el formato de archivo LNK está bloqueado en Outlook, Word, Excel, PowerPoint y OneNote, por lo que cualquier intento de abrir dichos archivos activará una advertencia a los usuarios para que no abran archivos de fuentes desconocidas.
Posteriormente, un informe de HarfangLab encontró que la falla fue explotada por un grupo de ciberespionaje llamado XDSpy para distribuir un malware basado en Go llamado XDigo como parte de ataques a entidades gubernamentales de Europa del Este.
Luego, a finales de octubre de 2025, el problema surgió por tercera vez después de que Arctic Wolf informara sobre una campaña ofensiva en la que actores de amenazas vinculados a China utilizaron la vulnerabilidad como arma en ataques a oficinas diplomáticas y gubernamentales europeas y propagaron el malware PlugX.
Este desarrollo llevó a Microsoft a emitir una guía formal sobre CVE-2025-9491, reiterando su decisión de no parchearlo y enfatizando que lo considera una vulnerabilidad “debido a la interacción del usuario involucrada y al hecho de que el sistema ya advierte a los usuarios que este formato no es confiable”.
0patch dijo que la vulnerabilidad no se trata sólo de ocultar la parte maliciosa del comando del campo de destino, sino también de que un archivo LNK “permite que los argumentos de destino sean una cadena muy larga (decenas de miles de caracteres), pero el cuadro de diálogo de propiedades solo muestra los primeros 260 caracteres y trunca silenciosamente el resto”.
Esto también significa que un actor malicioso puede crear un archivo LNK que puede ejecutar un comando largo que daría como resultado que solo se mostraran los primeros 260 caracteres al usuario que vio sus propiedades. El resto de la cadena de comando simplemente se trunca. Según Microsoft, la estructura del archivo permite teóricamente cadenas de hasta 32.000 caracteres.
El parche silencioso lanzado por Microsoft soluciona el problema mostrando el comando de destino completo con argumentos en el cuadro de diálogo de propiedades, independientemente de su longitud. Sin embargo, este comportamiento depende de la posibilidad de que haya archivos de vínculo de más de 260 caracteres en su campo de destino.
El microparche de 0patch para el mismo error adopta un enfoque diferente al mostrar una advertencia cuando los usuarios intentan abrir un archivo LNK de más de 260 caracteres.
“Si bien se pueden crear atajos maliciosos utilizando menos de 260 caracteres, creemos que interrumpir ataques reales descubiertos en la naturaleza puede marcar una gran diferencia para los objetivos”, dijo.
The Hacker News se comunicó con Microsoft para hacer comentarios y actualizará el artículo una vez que tengamos noticias de la compañía.
About The Author
