El 14 de enero de 2025, se identificó una vulnerabilidad crítica en la tecnología Windows Object Linking and Embedding (OLE), catalogada como CVE-2025-21298. Esta vulnerabilidad afecta a una amplia gama de sistemas operativos, incluyendo Windows 10, Windows 11 y versiones de Windows Server desde 2008 hasta 2025. Su explotación permite a un atacante ejecutar código de forma remota en el sistema afectado.
Descripción de la vulnerabilidad
La vulnerabilidad reside en la forma en que Windows maneja los objetos OLE. Un atacante puede explotar esta falla enviando un archivo RTF o un correo electrónico especialmente diseñado que contiene un objeto OLE malicioso. Cuando la víctima abre o incluso previsualiza el archivo o correo electrónico en una aplicación como Microsoft Outlook, el objeto OLE se activa, permitiendo la ejecución de código arbitrario sin necesidad de interacción adicional por parte del usuario.
Impacto
La explotación exitosa de CVE-2025-21298 puede resultar en la toma de control total del sistema afectado. Esto incluye la posibilidad de instalar programas, ver, cambiar o eliminar datos, y crear nuevas cuentas con privilegios completos de usuario. Dado que la vulnerabilidad puede ser explotada simplemente mediante la previsualización de un correo electrónico en Outlook, se considera de alta severidad.
Sistemas afectados
Los sistemas afectados incluyen:
- Windows 10
- Windows 11
- Windows Server 2008
- Windows Server 2008 R2
- Windows Server 2012
- Windows Server 2012 R2
- Windows Server 2016
- Windows Server 2019
- Windows Server 2022
- Windows Server 2025
Tanto las instalaciones de servidor (incluyendo Server Core) como las configuraciones de escritorio están en riesgo.
Mitigaciones
Para protegerse contra esta vulnerabilidad, se recomiendan las siguientes acciones:
- Actualizar el sistema: Microsoft ha lanzado parches de seguridad para abordar esta vulnerabilidad. Es crucial asegurarse de que todos los sistemas estén actualizados con las últimas actualizaciones de seguridad disponibles.
- Configurar Outlook para leer correos en texto sin formato: Esto reduce el riesgo de que se ejecuten objetos OLE maliciosos incrustados en correos electrónicos. Sin embargo, esta configuración puede afectar la visualización de contenido enriquecido en los correos.
- Evitar abrir archivos RTF de fuentes no confiables: Sea cauteloso al manejar archivos RTF o correos electrónicos de remitentes desconocidos o no confiables.
- Aplicar el principio de privilegio mínimo: Limite los privilegios de las cuentas de usuario para reducir el impacto potencial de una explotación exitosa.
Además, es recomendable monitorear los sistemas en busca de actividades sospechosas y asegurarse de que las soluciones de seguridad estén actualizadas para detectar posibles intentos de explotación relacionados con esta vulnerabilidad.
Exploit
Actualmente si existe una Prueba de Concepto publicada en github: GitHub - ynwarcs/CVE-2025-21298: Proof of concept & details for CVE-2025-21298
Para obtener información más detallada y actualizaciones, consulte el aviso de seguridad de Microsoft relacionado con CVE-2025-21298.
Fuentes: CVE-2025-21298 - Security Update Guide - Microsoft - Windows OLE Remote Code Execution Vulnerability, Aviso del 23 de enero: Vulnerabilidad OLE de Windows RCE [CVE-2025-21298] | Censys