Microsoft Windows ahora se ve amenazado por una nueva vulnerabilidad de seguridad crítica. Esta vulnerabilidad, denominada sobriamente CVE-2025-21298, se encuentra en el corazón de la función de vinculación e incrustación de objetos (OLE) de Windows, que permite que documentos y otros objetos se integren perfectamente en las aplicaciones. Pero esta característica tiene un peligro particular: un vistazo rápido a la bandeja de entrada de Outlook o una apertura irreflexiva de una vista previa de un correo electrónico puede ser suficiente para abrir la puerta digital a invitados no solicitados.
Los piratas informáticos pueden aprovechar la falla de seguridad llamada “uso después de la liberación” para tomar el control de la computadora de la víctima “enviando un correo electrónico especialmente diseñado a un objetivo”. Un exploit exitoso conduciría a la ejecución remota de código en el sistema objetivo si el objetivo abre este correo electrónico utilizando una versión vulnerable de Microsoft Outlook o si su software es capaz de obtener una vista previa del correo electrónico a través de un panel de vista previa.
Las consecuencias de un ataque de este tipo pueden ser devastadoras y van desde el robo de datos y el espionaje hasta el cifrado completo del sistema con ransomware. Se ven afectadas diferentes versiones de Windows 10, Windows 11 y Windows Server. La vulnerabilidad tiene una puntuación CVSSv3 de 9,8 sobre 10 y, por tanto, es “crítica”. Por otro lado, Microsoft afirma que hasta la fecha no ha observado ninguna explotación de la vulnerabilidad.
Microsoft ya está implementando parches de seguridad para corregir la falla: se recomienda encarecidamente a los usuarios que instalen estas actualizaciones lo antes posible. Hasta que se instalen las actualizaciones, se recomienda a los usuarios que vean los correos electrónicos en texto plano y, en redes locales grandes, restrinjan el tráfico NTLM o deshabiliten NTLM por completo. Configurar Microsoft Outlook para mostrar correos electrónicos en texto sin formato en lugar de formato enriquecido evita la visualización de otros tipos de contenido, como fotografías, animaciones o fuentes especializadas, a través de las cuales se puede explotar la vulnerabilidad.
