Se ha identificado una vulnerabilidad crítica de día cero que impacta a diversas versiones del sistema operativo Windows, abarcando desde Windows 7 y Server 2008 R2 hasta las versiones más recientes, Windows 11 v24H2 y Server 2025.
Esta vulnerabilidad permite a atacantes la captura de credenciales de autenticación NTLM de usuarios mediante la simple visualización de un archivo específicamente diseñado dentro del Explorador de Windows.
La activación de esta vulnerabilidad puede ocurrir al acceder a una carpeta compartida que contenga el archivo malicioso, al insertar una unidad USB infectada o incluso al visualizar la carpeta de Descargas si dicho archivo fue previamente descargado desde una fuente controlada por el atacante.
Vulnerabilidad NTLM explotada en ataques
La vulnerabilidad recientemente descubierta comparte escenarios de ataque similares con una falla de archivo URL previamente parcheada (CVE-2025-21377), aunque el problema técnico subyacente difiere y no se ha documentado públicamente antes.
Si bien los investigadores de seguridad retienen detalles específicos de la explotación hasta que Microsoft publique un parche oficial, confirman que la vulnerabilidad permite el robo de credenciales mediante la interacción de archivos maliciosos.
Aunque no está clasificada como crítica, esta vulnerabilidad de robo de credenciales NTLM sigue siendo peligrosa, particularmente en entornos donde los atacantes ya han obtenido acceso a la red o pueden apuntar a servidores públicos como Exchange para transmitir las credenciales robadas.
La inteligencia de seguridad confirma que este tipo de vulnerabilidades se han explotado activamente en ataques del mundo real.
Disponibilidad de microparches
El equipo de seguridad informó esta vulnerabilidad a Microsoft de acuerdo con prácticas de divulgación responsables.
Mientras esperan una solución oficial, desarrollaron y lanzaron microparches disponibles a través de 0patch que mitigarán temporalmente el problema. Estos microparches seguirán siendo gratuitos hasta que Microsoft implemente una solución permanente.
Esto representa la cuarta vulnerabilidad de día cero descubierta recientemente por el mismo equipo de investigación:
- Problema con el archivo de tema de Windows (parcheado como CVE-2025-21308)
- Problema de Mark of the Web en Server 2012 (aún sin parchear)
- Vulnerabilidad de divulgación de hash NTLM de archivo URL (parcheado como CVE-2025-21377)
Además, Microsoft aún no ha parcheado la vulnerabilidad “EventLogCrasher” informada en enero de 2024, que permite a los atacantes deshabilitar el registro de eventos de Windows en las computadoras del dominio.
Los parches de seguridad temporales admiten una amplia gama de versiones de Windows, que incluyen:
Versiones heredadas de Windows:
- Windows 11 v21H2 y versiones anteriores de Windows 10 (v21H2, v21H1, v20H2, etc.).
- Windows 7 con varios estados de Actualización de seguridad extendida (ESU).
- Windows Server 2012/2012 R2/2008 R2 con diferentes configuraciones de ESU.
Versiones de Windows actualmente compatibles:
- Windows 11 (v24H2, v23H2, v22H2)
- Windows 10 v22H2
- Windows Server 2025, 2022, 2019 y 2016
- Windows Server 2012/2012 R2 con ESU 2
Los microparches ya se han distribuido automáticamente a los sistemas afectados con el Agente 0patch instalado en cuentas PRO o Enterprise.
Para implementar estas medidas de protección, los nuevos usuarios deben crear una cuenta gratuita en 0patch Central, iniciar la prueba disponible e instalar y registrar el Agente 0patch.
El proceso no requiere reiniciar el sistema y la implementación del parche se produce automáticamente, lo que brinda protección inmediata contra esta vulnerabilidad de día cero mientras se espera la solución oficial de Microsoft.
