Microsoft corrige de forma silenciosa una falla crítica en archivos LNK explotada durante casi una década

Microsoft solucionó discretamente la vulnerabilidad CVE-2025-9491, un fallo en el manejo de archivos de acceso directo (.LNK) de Windows que ha sido explotado de manera activa por grupos de amenazas avanzadas desde 2017. El parche llegó sin mayor anuncio durante el Patch Tuesday de noviembre de 2025, a pesar de tratarse de un vector usado recurrentemente en campañas de espionaje y distribución de malware.

La vulnerabilidad, con puntuación CVSS 7.8, permitía que actores maliciosos ocultaran comandos completos o payloads dentro del campo Target del archivo LNK. El problema residía en que el cuadro de diálogo de Propiedades solo mostraba los primeros 260 caracteres, truncando el resto sin advertencia, lo que facilitaba ocultar la ejecución de instrucciones peligrosas.
Con la corrección aplicada, Windows ahora muestra la cadena completa sin importar su longitud, cerrando una puerta utilizada por varias APT para evadir análisis y engañar a los usuarios.

Un vector conocido y explotado por APT desde hace años

La falla fue documentada públicamente por Trend Micro en septiembre de 2024, cuando la compañía identificó casi mil muestras de LNK maliciosos distribuidos en campañas de espionaje atribuidas a grupos vinculados con Corea del Norte, Rusia y China. Los objetivos incluyeron organizaciones en Norteamérica, Europa y Latinoamérica, reforzando el rol de los accesos directos como mecanismo estable y discreto para comprometer equipos Windows.

En ese momento, Microsoft descartó lanzar un parche, argumentando que el comportamiento no violaba sus criterios de priorización y que protecciones como Mark of the Web (MotW) ofrecían mitigación suficiente.
Aun así, la firma ACROS Security lanzó por su cuenta un micropatch de 0patch que alertaba a los usuarios cuando un archivo LNK contenía cadenas Target anormalmente extensas.

Impacto para equipos de TI y recomendaciones operativas

Pese a su sencillez técnica, esta vulnerabilidad permitió durante años ejecutar malware de forma remota mediante accesos directos que aparentaban ser archivos legítimos. Los atacantes combinaban los LNK manipulados con escaladas de privilegios y otros loaders para establecer persistencia dentro de redes corporativas.

Para responsables de TI, SOCs, equipos Blue Team y desarrolladores que gestionan entornos Windows, las recomendaciones clave son:

• Aplicar inmediatamente las actualizaciones de noviembre 2025 en estaciones y servidores.

• Revisar accesos directos sospechosos verificando el campo Target completo (selección + desplazamiento).

• Endurecer políticas de control de archivos descargados y reforzar reglas de seguridad en herramientas EDR.

• Mantener monitoreo continuo, ya que este caso evidencia que vulnerabilidades “menores” pueden permanecer explotables por años cuando no son corregidas a tiempo.

El episodio subraya la importancia del monitoreo de parches silenciosos y recuerda que incluso fallos de bajo perfil pueden convertirse en vectores críticos cuando entran en manos de actores estatales.