Un peligroso ataque de día cero ha sido descubierto en Windows, permitiendo a los ciberdelincuentes robar credenciales NTLM sin que la víctima realice ninguna acción más allá de visualizar un archivo malicioso en el Explorador de Windows. Expertos en seguridad han revelado que todas las versiones del sistema operativo, desde Windows 7 hasta Windows 11, e incluso versiones de servidor como Windows Server 2008 R2 hasta Server 2025, están en riesgo.
La empresa de ciberseguridad ACROS Security descubrió esta
grave vulnerabilidad mientras trabajaba en parches para otro problema similar.
A través de su investigación, detectaron que un simple archivo SCF puede
explotar el fallo para extraer hashes NTLM sin necesidad de abrir el archivo,
solo con visualizarlo en una carpeta compartida, en un USB o incluso en la
carpeta de descargas donde haya sido descargado automáticamente.
Los atacantes pueden aprovechar estos hashes para ejecutar
ataques de relay NTLM, en los que fuerzan a dispositivos vulnerables a
autenticarse en servidores bajo su control, o ataques de pass-the-hash, donde
los ciberdelincuentes emplean los hashes robados para autenticarse como la
víctima y acceder a información sensible, moviéndose lateralmente dentro de la
red corporativa.
Microsoft planea eliminar NTLM, pero los riesgos siguen presentes
El año pasado, Microsoft anunció planes para retirar el
protocolo NTLM en futuras versiones de Windows 11, dado su historial de
vulnerabilidades explotadas en ataques cibernéticos. Sin embargo, esta nueva
amenaza demuestra que los riesgos siguen siendo significativos y que los
atacantes continúan encontrando formas de explotar sistemas vulnerables.
Aunque la vulnerabilidad aún no cuenta con un identificador
CVE, su explotación ya ha sido reportada y es motivo de preocupación para
expertos en seguridad. "Si bien estas vulnerabilidades no suelen
considerarse críticas y su explotabilidad depende de varios factores, hemos
visto que son utilizadas en ataques reales", advirtió Mitja Kolsek, CEO de
ACROS Security.
Parches disponibles mientras Microsoft prepara una solución
Para mitigar el riesgo, ACROS Security ha lanzado parches no oficiales gratuitos a través de su servicio 0Patch, disponibles para todas las
versiones afectadas de Windows. Estos microparches pueden instalarse sin
necesidad de reiniciar el sistema, siempre que no haya políticas personalizadas
que bloqueen su aplicación.
"Reportamos esta vulnerabilidad a Microsoft y, como es
habitual, lanzamos microparches gratuitos hasta que la compañía publique una
solución oficial", agregó Kolsek. Microsoft, por su parte, declaró a
BleepingComputer que está al tanto del problema y que tomará las medidas
necesarias para proteger a los usuarios.
Otras vulnerabilidades recientes y la incertidumbre en la seguridad de Windows
En los últimos meses, 0Patch ha reportado varias vulnerabilidades de día cero que Microsoft ha parcheado o aún no ha abordado,
incluyendo un fallo en los Temas de Windows (CVE-2025-21308), una omisión de la
Marca de la Web en Windows Server 2012 y otra vulnerabilidad de divulgación de
hashes NTLM (CVE-2025-21377).
Además, ataques previos como PetitPotam,
PrinterBug/SpoolSample y DFSCoerce también han aprovechado fallos similares en
la autenticación NTLM, y aún están a la espera de parches oficiales.
Mientras tanto, los usuarios y administradores de sistemas deben estar alerta y considerar la instalación de los microparches de 0Patch para mitigar los riesgos hasta que Microsoft publique una solución definitiva.
Nuevo ataque en YouTube: tres clics y tu Windows es hackeado