Microsoft ha solucionado silenciosamente una defecto de seguridad que ha sido explotada por varios actores de amenazas desde 2017 como parte de las actualizaciones del martes de parches de noviembre de 2025 de la compañía, según 0patch de ACROS Security.
La vulnerabilidad en cuestión es CVE-2025-9491 (Puntuación CVSS: 7.8/7.0), que se ha descrito como una vulnerabilidad de interpretación errónea de la interfaz de beneficiario del archivo de llegada directo de Windows (LNK) que podría conducir a la ejecución remota de código.
“La defecto específica existe en el manejo de archivos .LNK”, según una descripción en la Saco de datos doméstico de vulnerabilidad (NVD) del NIST. “Los datos elaborados en un archivo .LNK pueden hacer que el contenido peligroso del archivo sea invisible para un beneficiario que inspecciona el archivo a través de la interfaz de beneficiario proporcionada por Windows. Un atacante puede rendir esta vulnerabilidad para ejecutar código en el contexto del beneficiario flagrante”.
En otras palabras, estos archivos de llegada directo están diseñados de tal forma que al ver sus propiedades en Windows se ocultan los comandos maliciosos que ejecutan fuera de la panorama del beneficiario mediante el uso de varios caracteres de “espacio en blanco”. Para desencadenar su ejecución, los atacantes podrían disfrazar los archivos como documentos inofensivos.
Los detalles de la deficiencia surgieron por primera vez en marzo de 2025, cuando la Iniciativa de Día Cero (ZDI) de Trend Micro reveló que el problema había sido explotado por 11 grupos patrocinados por estados de China, Irán, Corea del Boreal y Rusia como parte de robo de datos, espionaje y campañas con motivación financiera, algunas de las cuales se remontan a 2017. El problema además se rastrea como ZDI-CAN-25373.
En ese momento, Microsoft le dijo a The Hacker News que la defecto no cumple con los requisitos para un servicio inmediato y que considerará solucionarla en una interpretación futura. Además señaló que el formato de archivo LNK está bloqueado en Outlook, Word, Excel, PowerPoint y OneNote, por lo que cualquier intento de inaugurar dichos archivos activará una advertencia a los usuarios para que no abran archivos de fuentes desconocidas.
Después, un noticia de HarfangLab encontró que un categoría de ciberespionaje conocido como XDSpy abusó de la deficiencia para distribuir un malware basado en Go llamado XDigo como parte de ataques dirigidos a entidades gubernamentales de Europa del Este, el mismo mes en que se reveló públicamente la defecto.
Luego, a finales de octubre de 2025, el problema surgió por tercera vez luego de que Arctic Wolf señalara una campaña ataque en la que actores de amenazas afiliados a China utilizaron la defecto como arsenal en ataques dirigidos a entidades diplomáticas y gubernamentales europeas y entregaron el malware PlugX.
Este incremento llevó a Microsoft a emitir una explorador formal sobre CVE-2025-9491, reiterando su audacia de no parchearlo y enfatizando que lo considera una vulnerabilidad “oportuno a la interacción del beneficiario involucrada y al hecho de que el sistema ya advierte a los usuarios que este formato no es de confianza”.
0patch dijo que la vulnerabilidad no se prostitución solo de ocultar la parte maliciosa del comando fuera del campo Destino, sino del hecho de que un archivo LNK “permite que los argumentos de Destino sean una prisión muy larga (decenas de miles de caracteres), pero el cuadro de diálogo Propiedades solo muestra los primeros 260 caracteres, cortando silenciosamente el resto”.
Esto además significa que un mal actor puede crear un archivo LNK que puede ejecutar un comando holgado, lo que haría que solo se mostraran los primeros 260 caracteres al beneficiario que vio sus propiedades. El resto de la prisión de comando simplemente se trunca. Según Microsoft, la estructura del archivo permite teóricamente cadenas de hasta 32k caracteres.
El parche silencioso osado por Microsoft soluciona el problema mostrando en el cuadro de diálogo Propiedades todo el comando Destino con argumentos, sin importar su largura. Dicho esto, este comportamiento depende de la posibilidad de que existan archivos de llegada directo con más de 260 caracteres en su campo Destino.
El microparche de 0patch para la misma defecto toma una ruta diferente al mostrar una advertencia cuando los usuarios intentan inaugurar un archivo LNK con más de 260 caracteres.
“Aunque se podrían construir atajos maliciosos con menos de 260 caracteres, creemos que interrumpir los ataques reales detectados en la naturaleza puede marcar una gran diferencia para los objetivos”, dijo.
The Hacker News se comunicó con Microsoft para hacer comentarios y actualizará el artículo si recibimos telediario de la compañía.
