Nueva Vulnerabilidad en Windows (CVE-2025-24054)

Tus credenciales pueden estar en peligro sin que hayas hecho clic en nada sospechoso. La Agencia de Ciberseguridad y Seguridad de las Infraestructuras (CISA) de Estados Unidos ha incluido recientemente una nueva amenaza en su Catálogo de Vulnerabilidades Explotadas Activamente (KEV): la CVE-2025-24054. Clasificada como una vulnerabilidad de suplantación de identidad (spoofing) con una puntuación de severidad media (CVSSv3: 6.5), afecta al protocolo NTLM (New Technology LAN Manager) utilizado en Microsoft Windows.

Este fallo, que permite la divulgación de hashes de autenticación, fue corregido por Microsoft en su actualización de seguridad de marzo, pero ya se ha confirmado que está siendo aprovechado activamente por atacantes en escenarios reales, según informes de Check Point Research. Lo más preocupante es que el ataque no requiere intervención directa del usuario; basta con que el sistema intente acceder automáticamente a un recurso remoto malicioso para que los datos comiencen a filtrarse.

¿Cómo funciona la vulnerabilidad CVE-2025-24054 y por qué NTLM sigue siendo un riesgo?

Aunque Microsoft reemplazó oficialmente el protocolo NTLM por Kerberos en 2024, NTLM sigue dando problemas. De hecho, ha sido durante años uno de los puntos más atacados por técnicas como pass-the-hash o los llamados relay attacks. La nueva vulnerabilidad, conocida como CVE-2025-24054, se debe a un fallo en cómo Windows maneja nombres de archivo o rutas externas (conocido técnicamente como CWE-73).

Este error permite que un atacante no autenticado se haga pasar por otro usuario a nivel de red, aprovechándose de archivos del tipo .library-ms. Lo más preocupante, según Microsoft, es que para que el ataque funcione no hace falta ni que abras ni que ejecutes el archivo malicioso; basta con una interacción mínima.

CVE-2025-24054, Exploit PCAP.  (Fuente: Research Checkpoint)

En las últimas semanas, se han detectado campañas de correo malicioso que están aprovechando esta vulnerabilidad de forma bastante ingeniosa. Los atacantes envían correos con enlaces que apuntan a archivos alojados en plataformas legítimas como Dropbox. Al descargar estos archivos (normalmente comprimidos en .zip) y descomprimirlos, se activa automáticamente una solicitud de red desde el explorador de archivos de Windows hacia un servidor controlado por los atacantes. Y lo preocupante es que, en ese proceso, se filtran los hashes NTLMv2-SSP del usuario, sin necesidad de que este abra o ejecute nada.

Estos ataques no son teóricos: ya se han visto casos reales dirigidos a organizaciones públicas y privadas en países como Polonia y Rumania, especialmente entre el 20 y el 21 de marzo de 2025. Más adelante, los atacantes incluso refinaron su técnica utilizando directamente archivos .library-ms sin comprimir, lo que les ayuda a evitar sistemas de detección que analizan el contenido de archivos comprimidos.

Esta vulnerabilidad (CVE-2025-24054) no surgió de la nada: es una evolución de una falla anterior, la CVE-2024-43451, que ya fue utilizada en ataques dirigidos a países como Ucrania y Colombia. En esas campañas, grupos conocidos por sus operaciones de espionaje aprovecharon los hashes robados para moverse lateralmente dentro de las redes comprometidas y escalar privilegios.

Aunque Microsoft clasificó inicialmente el riesgo de explotación como "poco probable", lo cierto es que el tiempo ha demostrado lo contrario. El ataque es tan silencioso y fácil de activar que representa un riesgo crítico, sobre todo para organizaciones que aún dependen de tecnologías heredadas como NTLM.

De hecho, la Agencia de Ciberseguridad de EE. UU. (CISA) ya ha exigido a las agencias federales que apliquen el parche correspondiente. Además del parche, se recomienda tomar medidas adicionales como:

1. Desactivar NTLM usando políticas de grupo y dar prioridad al uso de Kerberos.

2. Bloquear el tráfico SMB saliente no autorizado desde el firewall.

3. Vigilar cualquier tráfico SMB hacia dominios desconocidos o no confiables.

4. Capacitar a los usuarios para que no abran archivos .library-ms ni .zip de fuentes dudosas.

Todo esto deja claro que los atacantes siguen sacándole provecho a tecnologías obsoletas. Mientras NTLM siga habilitado y expuesto, seguirá siendo una puerta de entrada ideal para comprometer redes. La mejor defensa en este caso no es solo aplicar un parche, sino cerrar esa puerta para siempre desactivando lo que ya no se debería estar usando.