Una nova vulnerabilitat crítica identificada com CVE-2025-21298 ha estat descoberta en productes de Microsoft, permetent l’execució remota de codi sense necessitat d’interacció de l’usuari, segons ha compartit l’Incibe Incibe.
La vulnerabilitat afecta principalment les plataformes que utilitzen serveis de correu electrònic i eines col·laboratives de Microsoft, explotant un error en el processament de certs paquets de dades. Aquest tipus de vulnerabilitat “Zero-Click” és especialment perillosa, ja que permet que un atacant prenga el control del sistema objectiu sense que l’usuari realitze cap acció, com ara obrir un correu o fer clic en un enllaç.
Segons els detalls revelats, els atacants podrien enviar paquets maliciosos dissenyats per a executar-se automàticament en arribar al sistema, proporcionant accés remot i la possibilitat d’instal·lar programari maliciós, extraure informació sensible o fins i tot deshabilitar el sistema afectat. Microsoft ja ha estat notificat sobre el problema i treballa en el desenvolupament d’un pegat per a mitigar el risc.
Els experts en ciberseguretat insten les empreses i els usuaris a implementar mesures de seguretat addicionals mentre esperen l’actualització. Entre les recomanacions, s’inclou deshabilitar funcions no essencials que puguen ser explotades, activar opcions avançades de monitoratge de xarxa i mantindre actualitzat el programari en tots els sistemes.
Aquesta vulnerabilitat posa de manifest els riscos inherents a la dependència de tecnologies digitals massives sense processos d’auditoria i proves de robustesa suficientment freqüents. La comunitat de ciberseguretat recalca la importància d’estar informats i actuar ràpidament davant d’incidents d’aquesta naturalesa.
Referències
https://www.incibe.es/incibe-cert/alerta-temprana/avisos/actualizaciones-de-seguridad-de-microsoft-de-enero-de-2025