Microsoft corrige discretamente una vulnerabilidad LNK explotada activamente desde 2017
## Introducción
En el marco del ciclo de actualizaciones de seguridad de noviembre de 2025, Microsoft ha abordado silenciosamente una vulnerabilidad crítica que permanecía activa y sin parchear desde 2017. Varias fuentes de la industria, entre ellas ACROS Security y su plataforma 0patch, han confirmado que la vulnerabilidad, identificada como CVE-2025-9491, había sido utilizada en campañas de ataque por múltiples actores de amenazas durante años, pasando inadvertida para la mayoría de los equipos de seguridad y los usuarios de sistemas Windows.
## Contexto del Incidente o Vulnerabilidad
La vulnerabilidad CVE-2025-9491 afecta al sistema de interpretación de archivos de acceso directo (LNK) en versiones de Windows soportadas y algunas fuera de soporte. Los archivos LNK, utilizados comúnmente para crear accesos directos en el escritorio y otras ubicaciones, contienen metadatos que indican al sistema operativo cómo abrir el objetivo del enlace. El fallo reside en la forma en la que Windows interpreta ciertos atributos del archivo, permitiendo a un actor malicioso manipular la interfaz de usuario e inducir a la ejecución de código remoto sin interacción directa del usuario, lo que ha permitido ataques altamente efectivos y difíciles de detectar.
## Detalles Técnicos
La vulnerabilidad, con un CVSS de 7.8 (alta) para versiones recientes y 7.0 para sistemas antiguos, se clasifica como una “UI Misinterpretation Vulnerability” en archivos LNK. Según el análisis de 0patch, el vector de ataque típico consiste en la creación y distribución de archivos LNK especialmente manipulados, que al ser visualizados o ejecutados por el usuario, desencadenan la ejecución de código arbitrario en el contexto del usuario logado.
El exploit aprovecha el hecho de que el componente responsable de renderizar los accesos directos (Explorer.exe y aplicaciones asociadas) no valida correctamente ciertos campos del archivo LNK. Esto permite la ejecución de payloads como dropper de malware, loaders de Cobalt Strike o Meterpreter (Metasploit), y, en numerosos casos documentados, la entrega de ransomware y troyanos bancarios.
TTPs (Técnicas, Tácticas y Procedimientos) observados en los ataques incluyen:
– Uso de spear phishing y campañas de ingeniería social para distribuir archivos LNK maliciosos (MITRE ATT&CK T1566, T1204).
– Explotación de unidades compartidas y recursos de red (T1071, T1105).
– Persistencia mediante la creación de accesos directos en el inicio automático (T1547.009).
– Evasión de defensas mediante ofuscación y uso de nombres de archivo legítimos.
Indicadores de compromiso (IoC) asociados incluyen firmas hash de archivos LNK maliciosos, rutas inusuales de ejecución de procesos hijos desde Explorer.exe, y comunicaciones salientes anómalas tras la apertura del archivo.
## Impacto y Riesgos
El impacto de la vulnerabilidad es significativo, considerando el amplio uso de archivos LNK en entornos empresariales y la facilidad con la que pueden distribuirse a través de canales legítimos (correo electrónico, almacenamiento USB, redes compartidas). Según estimaciones de ACROS Security, hasta un 30% de los incidentes de intrusión detectados en ciertos sectores durante los últimos cinco años han involucrado archivos LNK manipulados como vector inicial.
El riesgo se agrava por la capacidad de los atacantes para ejecutar código con los mismos privilegios que el usuario, lo que facilita el movimiento lateral, la escalada de privilegios y la exfiltración de datos. Además, la explotación de la vulnerabilidad puede evadir muchas soluciones antimalware tradicionales, que suelen centrarse en ejecutables y scripts, pero no en accesos directos.
## Medidas de Mitigación y Recomendaciones
Microsoft ha publicado actualizaciones de seguridad para todas las versiones afectadas de Windows, incluyendo Windows 10, 11, Server 2016/2019/2022. Se recomienda la instalación inmediata de los parches correspondientes (consultar el KB asociado a CVE-2025-9491).
Otras medidas recomendadas incluyen:
– Deshabilitar la visualización de extensiones de archivo y el uso de iconos personalizados en accesos directos.
– Implementar políticas de restricción de ejecución para archivos LNK en ubicaciones sensibles usando AppLocker o Windows Defender Application Control.
– Monitorizar la actividad de creación y ejecución de archivos LNK, especialmente fuera de ubicaciones estándar.
– Actualizar soluciones de EDR y SIEM para incluir detección basada en comportamiento para este vector de ataque.
## Opinión de Expertos
Iván Kwiatkowski, investigador de GReAT (Kaspersky), destaca: “La explotación silenciosa y prolongada de esta vulnerabilidad evidencia la necesidad de monitorear vectores de ataque considerados tradicionales. Los archivos LNK, por su naturaleza, pasan desapercibidos y pueden eludir controles de seguridad convencionales”.
Por su parte, Mitja Kolsek, CEO de ACROS Security, subraya la importancia de los microparches y la colaboración de la comunidad para detectar y neutralizar vulnerabilidades antiguas pero aún explotables.
## Implicaciones para Empresas y Usuarios
La existencia de esta vulnerabilidad durante más de ocho años pone de manifiesto la necesidad de revisar los programas de gestión de vulnerabilidades y reforzar la formación en ingeniería social y manipulación de archivos aparentemente inocuos. Bajo el marco regulatorio europeo (GDPR, NIS2), la explotación de CVE-2025-9491 podría suponer sanciones económicas por pérdida de datos personales o interrupciones de servicio.
En sectores críticos —finanzas, sanidad y administración pública—, la exposición a este tipo de ataques puede traducirse en pérdidas económicas millonarias y daño reputacional.
## Conclusiones
La corrección de CVE-2025-9491 marca el cierre de una de las puertas traseras más persistentes y discretas en el ecosistema Windows. Sin embargo, la duración de su explotación resalta la importancia de la vigilancia continua y de la actualización proactiva de los sistemas, así como de la necesidad de evolucionar los controles de seguridad más allá de las amenazas “de moda”. La colaboración entre fabricantes, investigadores y equipos SOC es clave para identificar y neutralizar vulnerabilidades latentes.
(Fuente: feeds.feedburner.com)