Microsoft ha solucionado silenciosamente una falla de seguridad que ha sido explotada por varios actores de amenazas desde 2017 como parte de las actualizaciones del martes de parches de noviembre de 2025 de la compañía, según 0patch de ACROS Security.
La vulnerabilidad en cuestión es CVE-2025-9491 (Puntuación CVSS: 7.8/7.0), que se ha descrito como una vulnerabilidad de interpretación errónea de la interfaz de usuario del archivo de acceso directo de Windows (LNK) que podría conducir a la ejecución remota de código.
«La falla específica existe en el manejo de archivos .LNK», según una descripción en la Base de datos nacional de vulnerabilidad (NVD) del NIST. «Los datos elaborados en un archivo .LNK pueden hacer que el contenido peligroso del archivo sea invisible para un usuario que inspecciona el archivo a través de la interfaz de usuario proporcionada por Windows. Un atacante puede aprovechar esta vulnerabilidad para ejecutar código en el contexto del usuario actual».
En otras palabras, estos archivos de acceso directo están diseñados de tal manera que al ver sus propiedades en Windows se ocultan los comandos maliciosos que ejecutan fuera de la vista del usuario mediante el uso de varios caracteres de «espacio en blanco». Para desencadenar su ejecución, los atacantes podrían disfrazar los archivos como documentos inofensivos.
Los detalles de la deficiencia surgieron por primera vez en marzo de 2025, cuando la Iniciativa de Día Cero (ZDI) de Trend Micro reveló que el problema había sido explotado por 11 grupos patrocinados por estados de China, Irán, Corea del Norte y Rusia como parte de robo de datos, espionaje y campañas con motivación financiera, algunas de las cuales se remontan a 2017. El problema también se rastrea como ZDI-CAN-25373.
En ese momento, Microsoft le dijo a The Hacker News que la falla no cumple con los requisitos para un servicio inmediato y que considerará solucionarla en una versión futura. También señaló que el formato de archivo LNK está bloqueado en Outlook, Word, Excel, PowerPoint y OneNote, por lo que cualquier intento de abrir dichos archivos activará una advertencia a los usuarios para que no abran archivos de fuentes desconocidas.
Posteriormente, un informe de HarfangLab encontró que un grupo de ciberespionaje conocido como XDSpy abusó de la deficiencia para distribuir un malware basado en Go llamado XDigo como parte de ataques dirigidos a entidades gubernamentales de Europa del Este, el mismo mes en que se reveló públicamente la falla.
Luego, a finales de octubre de 2025, el problema surgió por tercera vez después de que Arctic Wolf señalara una campaña ofensiva en la que actores de amenazas afiliados a China utilizaron la falla como arma en ataques dirigidos a entidades diplomáticas y gubernamentales europeas y entregaron el malware PlugX.
Este desarrollo llevó a Microsoft a emitir una guía formal sobre CVE-2025-9491, reiterando su decisión de no parchearlo y enfatizando que lo considera una vulnerabilidad «debido a la interacción del usuario involucrada y al hecho de que el sistema ya advierte a los usuarios que este formato no es de confianza».
0patch dijo que la vulnerabilidad no se trata solo de ocultar la parte maliciosa del comando fuera del campo Destino, sino del hecho de que un archivo LNK «permite que los argumentos de Destino sean una cadena muy larga (decenas de miles de caracteres), pero el cuadro de diálogo Propiedades solo muestra los primeros 260 caracteres, cortando silenciosamente el resto».
Esto también significa que un mal actor puede crear un archivo LNK que puede ejecutar un comando largo, lo que haría que solo se mostraran los primeros 260 caracteres al usuario que vio sus propiedades. El resto de la cadena de comando simplemente se trunca. Según Microsoft, la estructura del archivo permite teóricamente cadenas de hasta 32k caracteres.
El parche silencioso lanzado por Microsoft soluciona el problema mostrando en el cuadro de diálogo Propiedades todo el comando Destino con argumentos, sin importar su longitud. Dicho esto, este comportamiento depende de la posibilidad de que existan archivos de acceso directo con más de 260 caracteres en su campo Destino.
El microparche de 0patch para la misma falla toma una ruta diferente al mostrar una advertencia cuando los usuarios intentan abrir un archivo LNK con más de 260 caracteres.
«Aunque se podrían construir atajos maliciosos con menos de 260 caracteres, creemos que interrumpir los ataques reales detectados en la naturaleza puede marcar una gran diferencia para los objetivos», dijo.
The Hacker News se comunicó con Microsoft para hacer comentarios y actualizará el artículo si recibimos noticias de la compañía.
