Explotación activa de dos vulnerabilidades críticas de Windows: Una de ellas es un Zero-Day con años de Antigüedad

Investigadores de seguridad han emitido una alerta crítica sobre la explotación activa y generalizada de dos vulnerabilidades serias de Windows. Lo más preocupante es que una de ellas es un zero-day (fallo desconocido para el fabricante) que, según las investigaciones, ha estado siendo utilizado por atacantes desde el año 2017, sin haber sido parcheado aún por Microsoft.

Los ataques están dirigidos a una amplia franja de usuarios y organizaciones, lo que sugiere una operación coordinada y de gran escala.

1. El Zero-Day de los Atajos (.lnk) - CVE-2025-9491

Este fallo, que ahora se rastrea como CVE-2025-9491, se encuentra en el formato binario de los Atajos de Windows (.lnk), el componente que permite abrir aplicaciones o acceder a archivos de forma rápida.

• Antigüedad y Uso: Fue descubierto por Trend Micro en marzo, indicando que ya estaba en explotación activa por hasta 11 grupos APT (Amenazas Persistentes Avanzadas, a menudo vinculadas a estados-nación) desde 2017.
• Ataque Actual: Recientemente, la firma Arctic Wolf reportó que un grupo alineado con China (UNC-6384) está explotando activamente esta vulnerabilidad en Europa para desplegar el troyano de acceso remoto PlugX. Para evadir la detección, el exploit mantiene el archivo binario cifrado en formato RC4 hasta el último paso del ataque.
• Severidad y Mitigación: La vulnerabilidad tiene una severidad de 7 sobre 10. Dado que Microsoft aún no ha lanzado un parche, la contramedida más efectiva para los usuarios es restringir el uso de archivos .lnk provenientes de orígenes no confiables, deshabilitando su resolución automática en Windows Explorer.

2. El Fallo Crítico en WSUS - CVE-2025-59287

La otra vulnerabilidad, clasificada con una severidad crítica de 9.8 sobre 10, reside en los Windows Server Update Services (WSUS). WSUS es la herramienta que los administradores usan para gestionar la instalación y actualización de aplicaciones en flotas masivas de servidores.

• Fallo y Parche Incompleto: Este fallo permite la ejecución remota de código (RCE) y tiene potencial de propagación (wormable). Microsoft intentó corregirla sin éxito la semana anterior en el Patch Tuesday de octubre. El código de prueba de concepto (Proof-of-Concept o PoC) lanzado públicamente demostró que la corrección era incompleta.
• Explotación Activa: Pocos días después del segundo intento de parche por parte de Microsoft, empresas de seguridad como Huntress y Sophos han detectado la explotación de CVE-2025-59287 en múltiples entornos de clientes. Estos ataques han afectado a servidores WSUS expuestos a Internet en diversas industrias, aunque no parecen ser ataques dirigidos.

La actividad coordinada observada con el zero-day (.lnk) sugiere una operación centralizada de inteligencia. Paralelamente, la rápida explotación de la falla de WSUS muestra que los atacantes están muy atentos a los fallos recién revelados.

Es urgente que los administradores investiguen de inmediato si sus dispositivos son vulnerables a cualquiera de estos dos ataques. Actualmente, no hay indicación oficial de cuándo Microsoft lanzará una corrección para el zero-day (CVE-2025-9491).

El artículo original que detalla la explotación de ambas vulnerabilidades puede consultarse en Ars Technica: Two Windows vulnerabilities, one a 0-day, are under active exploitation.