Microsoft corrige una falla de Windows LNK tras años de explotación activa

Microsoft ha tapado silenciosamente una falla de seguridad que ha sido explotada por varios actores de amenazas desde 2017 como parte de las actualizaciones del martes de parches de noviembre de 2025 de la compañía , según 0patch de ACROS Security .

La vulnerabilidad en cuestión es CVE-2025-9491 (puntuación CVSS: 7.8/7.0), que se ha descrito como una vulnerabilidad de mala interpretación de la interfaz de usuario del archivo de acceso directo de Windows (LNK) que podría conducir a la ejecución remota de código.

La falla específica se encuentra en el manejo de archivos .LNK, según una descripción en la Base de Datos Nacional de Vulnerabilidades (NVD) del NIST. Los datos manipulados en un archivo .LNK pueden hacer que el contenido peligroso del archivo sea invisible para un usuario que lo inspeccione a través de la interfaz de usuario de Windows. Un atacante puede aprovechar esta vulnerabilidad para ejecutar código en el contexto del usuario actual.

En otras palabras, estos archivos de acceso directo están diseñados de tal manera que, al ver sus propiedades en Windows, los comandos maliciosos que ejecutan se ocultan de la vista del usuario mediante el uso de varios espacios en blanco. Para activar su ejecución, los atacantes podrían camuflar los archivos como documentos inofensivos.

Los primeros detalles de la deficiencia surgieron en marzo de 2025, cuando la Zero Day Initiative (ZDI) de Trend Micro reveló que el problema había sido explotado por 11 grupos patrocinados por estados de China, Irán, Corea del Norte y Rusia como parte del robo de datos, espionaje y campañas con motivaciones financieras, algunas de las cuales se remontan a 2017. El problema también se rastrea como ZDI-CAN-25373.

En ese momento, Microsoft informó a The Hacker News que la falla no cumplía los requisitos para una reparación inmediata y que consideraría corregirla en una versión futura. También señaló que el formato de archivo LNK está bloqueado en Outlook, Word, Excel, PowerPoint y OneNote, por lo que cualquier intento de abrir dichos archivos activará una advertencia para que los usuarios no abran archivos de fuentes desconocidas.

Posteriormente, un informe de HarfangLab descubrió que la falla fue abusada por un grupo de espionaje cibernético conocido como XDSpy para distribuir un malware basado en Go llamado XDigo como parte de ataques dirigidos a entidades gubernamentales de Europa del Este, el mismo mes en que la falla se reveló públicamente.

Luego, a fines de octubre de 2025, el problema surgió por tercera vez después de que Arctic Wolf anunciara una campaña ofensiva en la que actores de amenazas afiliados a China utilizaron la falla como arma en ataques dirigidos a entidades diplomáticas y gubernamentales europeas y distribuyeron el malware PlugX.

Este desarrollo llevó a Microsoft a emitir una guía formal sobre CVE-2025-9491, reiterando su decisión de no aplicarle un parche y enfatizando que no la considera una vulnerabilidad «debido a la interacción del usuario involucrada y al hecho de que el sistema ya advierte a los usuarios que este formato no es confiable».

0patch dijo que la vulnerabilidad no solo tiene que ver con ocultar la parte maliciosa del comando del campo Destino, sino con el hecho de que un archivo LNK «permite que los argumentos de Destino sean una cadena muy larga (decenas de miles de caracteres), pero el cuadro de diálogo Propiedades solo muestra los primeros 260 caracteres, cortando silenciosamente el resto».

Esto también significa que un actor malicioso puede crear un archivo LNK que ejecute un comando largo, lo que provocaría que solo se mostraran los primeros 260 caracteres al usuario que vio sus propiedades. El resto de la cadena de comandos simplemente se trunca. Según Microsoft, la estructura del archivo, en teoría, permite cadenas de hasta 32 000 caracteres.

El parche silencioso publicado por Microsoft soluciona el problema mostrando en el cuadro de diálogo Propiedades el comando «Destino» completo con argumentos, independientemente de su longitud. Dicho esto, este comportamiento depende de la posibilidad de que existan archivos de acceso directo con más de 260 caracteres en su campo «Destino».

El microparche de 0patch para la misma falla toma una ruta diferente al mostrar una advertencia cuando los usuarios intentan abrir un archivo LNK con argumentos de línea de comando de más de 260 caracteres rellenando el campo Destino.

«Aunque se pueden crear accesos directos maliciosos con menos de 260 caracteres, creemos que interrumpir los ataques reales detectados puede suponer una gran diferencia para los objetivos», afirmó.

Cuando se le contactó para hacer comentarios, un portavoz de Microsoft no confirmó directamente el lanzamiento de un parche, pero transmitió la guía de seguridad del gigante tecnológico que establece que la compañía está «implementando continuamente mejoras de productos y de interfaz de usuario para ayudar a mantener a los clientes protegidos y mejorar la experiencia».

«Como práctica recomendada de seguridad, Microsoft alienta a los clientes a tener cuidado al descargar archivos de fuentes desconocidas, como se indica en las advertencias de seguridad, que han sido diseñadas para reconocer y advertir a los usuarios sobre archivos potencialmente dañinos», agregó el portavoz.

Fuente y redacción: thehackernews.com

El nuevo error de WhatsApp podría haber permitido a los piratas informáticos instalar secretamente spyware en sus dispositivos.

Cientos de servidores Citrix NetScaler ADC y Gateway pirateados en un gran ataque cibernético

Qué es una supercookie, en qué se diferencia de una cookie normal y cómo afecta a la Privacidad