Investigadores de seguridad han alertado sobre la explotación activa de dos vulnerabilidades en Windows. Una de ellas es una vulnerabilidad de día cero (zero-day), conocida por los atacantes desde 2017, y la otra es un fallo crítico que Microsoft intentó corregir sin éxito en un primer momento. Ambas están siendo utilizadas en ataques generalizados a través de Internet.
Vulnerabilidad Zero-Day
La vulnerabilidad zero-day permaneció sin ser detectada hasta marzo, cuando la empresa de seguridad Trend Micro informó que había estado siendo explotada activamente desde 2017 por hasta 11 grupos de amenazas persistentes avanzadas (APT) distintos. Estos grupos APT, a menudo vinculados a estados-nación, atacan de forma persistente a individuos o grupos de interés específicos. Trend Micro indicó que los grupos estaban explotando la vulnerabilidad, identificada entonces como ZDI-CAN-25373, para instalar diversas cargas útiles de post-explotación conocidas en infraestructuras ubicadas en casi 60 países, siendo Estados Unidos, Canadá, Rusia y Corea los más afectados.
Siete meses después, Microsoft aún no ha publicado un parche para esta vulnerabilidad, que se origina en un error en el formato binario Windows Shortcut. Este componente de Windows facilita y agiliza la apertura de aplicaciones o el acceso a archivos, permitiendo que un único archivo binario los invoque sin necesidad de navegar hasta sus ubicaciones. En los últimos meses, la designación de seguimiento ZDI-CAN-25373 ha sido cambiada a CVE-2025-9491.
El jueves, la empresa de seguridad Arctic Wolf informó haber observado a un grupo de amenazas alineado con China, rastreado como UNC-6384, explotando CVE-2025-9491 en ataques contra varias naciones europeas. La carga útil final es un troyano de acceso remoto ampliamente utilizado conocido como PlugX. Para ocultar mejor el malware, el exploit mantiene el archivo binario encriptado en formato RC4 hasta el paso final del ataque.
“La amplitud de los objetivos en múltiples naciones europeas dentro de un plazo condensado sugiere una operación de recopilación de inteligencia coordinada a gran escala o el despliegue de múltiples equipos operativos paralelos con herramientas compartidas pero objetivos independientes”, dijo Arctic Wolf. “La consistencia en las tácticas a través de objetivos dispares indica un desarrollo de herramientas centralizado y estándares de seguridad operativa, incluso si la ejecución se distribuye entre múltiples equipos”.
Ante la falta de un parche disponible, los usuarios de Windows se enfrentan a un número limitado de opciones para defenderse de los ataques. La contramedida más eficaz es bloquear las funciones .lnk restringiendo el uso de archivos .lnk de orígenes no confiables. Esto se puede hacer configurando el Explorador de Windows para deshabilitar la resolución automática de dichos archivos. La calificación de severidad para CVE-2025-9491 es de 7 sobre 10.
Vulnerabilidad en Windows Server Update Services (WSUS)
La otra vulnerabilidad de Windows fue parcheada la semana pasada, cuando Microsoft publicó una actualización no programada. CVE-2025-59287 tiene una calificación de severidad de 9.8. Reside en los Servicios de actualización de Windows Server (WSUS), que los administradores utilizan para instalar, parchear o eliminar aplicaciones en grandes flotas de servidores. Microsoft intentó previamente parchear la vulnerabilidad de ejecución remota de código potencialmente propagable, causada por un fallo de serialización, una semana antes en su lanzamiento de Patch Tuesday de octubre. El código de prueba de concepto publicado públicamente demostró rápidamente que el intento de solución era incompleto.
Casi al mismo tiempo que Microsoft lanzó su segunda solución, la empresa de seguridad Huntress dijo que había observado que el fallo de WSUS estaba siendo explotado a partir del 23 de octubre. La empresa de seguridad Eye informó el mismo hallazgo poco después.
La empresa de seguridad Sophos dijo el miércoles que también ha observado que CVE-2025-59287 está siendo explotado “en múltiples entornos de clientes” desde el 24 de octubre.
“La ola de actividad, que abarcó varias horas y se dirigió a servidores WSUS expuestos a Internet, afectó a clientes de una amplia gama de industrias y no pareció ser ataques dirigidos”, dijo Sophos. “No está claro si los actores de amenazas detrás de esta actividad aprovecharon el PoC público o desarrollaron su propio exploit”.
Se recomienda a los administradores que investiguen inmediatamente si sus dispositivos son vulnerables a alguno de los ataques en curso. No hay indicios de cuándo Microsoft lanzará un parche para CVE-2025-9491.
Fuente original: ver aquí