Microsoft ha solucionado silenciosamente una falla de seguridad que ha sido explotada por varios actores de amenazas desde 2017 como parte de la campaña de noviembre de 2025 de la compañía. Actualizaciones del martes de parches , según Parche 0 de ACROS Security .
La vulnerabilidad en cuestión es CVE-2025-9491 (puntuación CVSS: 7,8/7,0), que se ha descrito como una vulnerabilidad de interpretación errónea de la interfaz de usuario de archivos de acceso directo de Windows (LNK) que podría provocar la ejecución remota de código.
«La falla específica existe en el manejo de los archivos.LNK», según una descripción de la Base de Datos Nacional de Vulnerabilidad (NVD) del NIST. «Los datos creados en un archivo.LNK pueden hacer que el contenido peligroso del archivo no sea visible para un usuario que lo inspeccione a través de la interfaz de usuario proporcionada por Windows. Un atacante puede aprovechar esta vulnerabilidad para ejecutar código en el contexto del usuario actual».
En otras palabras, estos archivos de acceso directo están diseñados de manera que la visualización de sus propiedades en Windows oculta los comandos maliciosos que ejecutan fuera de la vista del usuario mediante el uso de varios caracteres de «espacio en blanco». Para iniciar su ejecución, los atacantes podrían disfrazar los archivos y convertirlos en documentos inofensivos.
Detalles de la deficiencia surgió por primera vez en marzo de 2025, cuando la iniciativa Zero Day Initiative (ZDI) de Trend Micro reveló que 11 grupos patrocinados por el estado de China, Irán, Corea del Norte y Rusia habían explotado el tema como parte de campañas de robo de datos, espionaje y motivación financiera, algunas de las cuales se remontan a 2017. El problema también se registra como ZDI-CAN-25373.
En ese momento, Microsoft dijo a The Hacker News que la falla no cumple con los requisitos para un servicio inmediato y que considerará la posibilidad de solucionarlo en una versión futura. También señaló que el formato de archivo LNK está bloqueado en Outlook, Word, Excel, PowerPoint y OneNote, por lo que cualquier intento de abrir dichos archivos provocará una advertencia a los usuarios para que no abran archivos de fuentes desconocidas.
Posteriormente, un informe de HarfangLab encontrado que un grupo de ciberespionaje conocido como XDSpy abusó de esta deficiencia para distribuir un malware basado en Go llamado xDigo como parte de los ataques contra entidades gubernamentales de Europa del Este, el mismo mes en que se hizo pública la falla.
Luego, a finales de octubre de 2025, el problema surgió por tercera vez después de Arctic Wolf marcado una campaña ofensiva en la que actores de amenazas afiliados a China utilizaron como arma la falla en ataques dirigidos a entidades diplomáticas y gubernamentales europeas y lanzaron el malware PlugX.
Este desarrollo llevó a Microsoft a cuestión una guía formal sobre el CVE-2025-9491, reiterando su decisión de no parchearlo y haciendo hincapié en que sí lo considera una vulnerabilidad «debido a la interacción del usuario involucrada y al hecho de que el sistema ya advierte a los usuarios de que este formato no es confiable».
0patch dijo que la vulnerabilidad no consiste solo en ocultar la parte maliciosa del comando fuera del campo Target, sino en el hecho de que un archivo LNK «permite que los argumentos de Target sean una cadena muy larga (decenas de miles de caracteres), pero el cuadro de diálogo de propiedades solo muestra los primeros 260 caracteres, cortando silenciosamente el resto».
Esto también significa que un mal actor puede crear un archivo LNK que pueda ejecutar un comando largo, lo que provocaría que solo se mostraran los primeros 260 caracteres del archivo al usuario que había visto sus propiedades. El resto de la cadena de comandos simplemente se trunca. Según Microsoft, la estructura del archivo teóricamente permite para cadenas de hasta 32 000 caracteres.
El parche silencioso publicado por Microsoft soluciona el problema al mostrar en el cuadro de diálogo Propiedades todo el comando Target con argumentos, sin importar su longitud. Dicho esto, este comportamiento depende de la posibilidad de que existan archivos de acceso directo con más de 260 caracteres en su campo de destino.
El microparche de 0patch para la misma falla toma una ruta diferente al mostrar una advertencia cuando los usuarios intentan abrir un archivo LNK con más de 260 caracteres.
«Aunque se pueden crear atajos maliciosos con menos de 260 caracteres, creemos que interrumpir los ataques reales detectados en la naturaleza puede marcar una gran diferencia para los objetivos», afirma.
The Hacker News se ha puesto en contacto con Microsoft para solicitar comentarios y actualizará el artículo si tenemos noticias de la empresa.