Una nueva vulnerabilidad crítica identificada como CVE-2025-21298 ha sido descubierta en productos de Microsoft, permitiendo la ejecución remota de código sin necesidad de interacción del usuario, según ha compartido Incibe.
La vulnerabilidad afecta principalmente a plataformas que utilizan servicios de correo electrónico y herramientas colaborativas de Microsoft, explotando un fallo en el procesamiento de ciertos paquetes de datos. Este tipo de vulnerabilidad “Zero-Click” es especialmente peligrosa porque permite que un atacante tome control del sistema objetivo sin que el usuario realice ninguna acción, como abrir un correo o hacer clic en un enlace.
Según los detalles revelados, los atacantes podrían enviar paquetes maliciosos diseñados para ejecutarse automáticamente al llegar al sistema, proporcionando acceso remoto y la posibilidad de instalar software malicioso, extraer información sensible o incluso deshabilitar el sistema afectado. Microsoft ya ha sido notificado sobre el problema y trabaja en el desarrollo de un parche para mitigar el riesgo.
Los expertos en ciberseguridad instan a las empresas y usuarios a implementar medidas de seguridad adicionales mientras esperan la actualización. Entre las recomendaciones, se incluye deshabilitar funciones no esenciales que puedan ser explotadas, activar opciones avanzadas de monitoreo de red, y mantener actualizado el software en todos los sistemas.
Esta vulnerabilidad pone de manifiesto los riesgos inherentes a la dependencia de tecnologías digitales masivas sin procesos de auditoría y pruebas de robustez suficientemente frecuentes. La comunidad de ciberseguridad recalca la importancia de estar informados y actuar rápidamente ante incidentes de esta naturaleza.
Referencias
https://www.incibe.es/incibe-cert/alerta-temprana/avisos/actualizaciones-de-seguridad-de-microsoft-de-enero-de-2025