Fecha de divulgación (fuente): 14 de enero de 2025
CVE-2025-21298 es un fallo crítico en la tecnología Windows Object Linking and Embedding (OLE). Este problema afecta a una amplia gama de sistemas, desde Windows Server 2008 hasta 2025 y Windows 10/11, y afecta tanto a instalaciones de servidor (incluido Server Core) como a configuraciones de escritorio. El peligro es especialmente alto para los sistemas que procesan archivos en formato de texto enriquecido (RTF) o correos electrónicos a través de Microsoft Outlook.
Un atacante podría explotar esta vulnerabilidad creando un archivo RTF malicioso o un correo electrónico cargado con una carga útil. Lo envían a una víctima, que sin saberlo interactúa con el archivo y desencadena el exploit cuando:
- La víctima abre el archivo RTF o el correo electrónico utilizando Microsoft Outlook u otra aplicación compatible con OLE.
- El correo electrónico simplemente se previsualiza en el panel de lectura de Outlook, sin necesidad de hacer clic.
La carga maliciosa incrustada en el documento o correo electrónico se ejecuta, dando al atacante el control total sobre el sistema de la víctima. Esto significa que pueden robar datos, instalar malware o escalar privilegios sin necesidad de que la víctima haga mucho más que echar un vistazo a su bandeja de entrada.
Microsoft Exchange Server o Microsoft Outlook como aplicaciones independientes no son directamente vulnerables porque el fallo reside en Windows OLE, parte del sistema operativo subyacente.
Sin embargo, Outlook se convierte en la puerta de enlace, ya que procesa los archivos RTF o correos electrónicos que actúan como mecanismo de entrega del exploit.
Para mitigar esta vulnerabilidad, configure Microsoft Outlook para que abra los mensajes de correo electrónico en formato de texto sin formato a fin de evitar la representación de archivos RTF que puedan incluir objetos OLE maliciosos y evite abrir archivos RTF o adjuntos de correo electrónico procedentes de fuentes no fiables. Para obtener una lista completa de los productos afectados y los pasos detallados para solucionar el problema, consulte Aviso de seguridad de Microsoft.
| Campo |
Detalles |
| CVE-ID |
CVE-2025-21298 - CVSS 9.8 (crítico) - asignado por Microsoft |
| Descripción de la vulnerabilidad |
En un escenario de ataque por correo electrónico, un atacante podría explotar la vulnerabilidad enviando el correo electrónico especialmente diseñado a la víctima. La explotación de la vulnerabilidad puede implicar que la víctima abra un mensaje de correo electrónico especialmente diseñado con una versión afectada del software Microsoft Outlook, o que la aplicación Outlook de la víctima muestre una vista previa de un mensaje de correo electrónico especialmente diseñado. Esto podría dar lugar a que el atacante ejecute código remoto en la máquina de la víctima. |
| Fecha de divulgación |
14 de enero de 2025 |
| Activos afectados |
Esta vulnerabilidad afecta a la tecnología OLE de Windows |
| Versiones de software vulnerables |
Esta vulnerabilidad afecta a los productos Windows Server (2008 a 2025) y a los sistemas operativos Windows 10/11. Los productos específicos afectados son demasiado largos para enumerarlos aquí, pero están disponibles en una tabla en Aviso de seguridad de Microsoft. |
| ¿PoC disponible? |
Un exploit PoC está disponible públicamente en GitHub. Este es un PoC de corrupción de memoria, no un exploit, pero hay un archivo rtf en este repositorio que reproduce la vulnerabilidad. |
| Estado de explotación |
No observamos esta vulnerabilidad en la lista de vulnerabilidades explotadas conocidas de CISA ni en GreyNoise en el momento de escribir este artículo. |
| Estado del parche |
Microsoft ha compartido actualizaciones de seguridad para cada uno de los productos afectados en su Recomendaciones de seguridad. Además, ha compartido una guía de mitigación específica para los usuarios de Microsoft Outlook, recomendando que lean los mensajes de correo electrónico en formato de texto sin formato. |
Censys Perspectiva
En el momento de redactar este informe, Censys observó 482,270 servidores Exchange y portales Outlook Web Access expuestos. Una gran proporción de ellos (25%) están geolocalizados en Alemania.
Tenga en cuenta que aunque estos servidores expuestos no son directamente vulnerables a CVE-2025-21298 - ya que el fallo reside en el componente OLE de Windows y no en Exchange o Outlook en sí - sirven como indicadores de riesgo potencial. Es crucial dar prioridad a la aplicación de parches y al refuerzo de los sistemas en estos entornos.
Mapa de portales expuestos de Exchange Server y Outlook Web Access:
Censys Consulta de búsqueda:
services.software: (vendor = "Microsoft" and (product="Exchange Server" or product="Outlook Web Access")) and not labels: {honeypot, tarpit}
Censys Consulta ASM:
host.services.software: (vendor = "Microsoft" and (product="Exchange Server" or product="Outlook Web Access")) or web_entity.instances.software: (vendor = "Microsoft" and (product="Exchange Server" or product="Outlook Web Access")) and not host.labels: {honeypot, tarpit}
Referencias
