La Zero Day Initiative (ZDI) de Trend Micro ha revelado una vulnerabilidad de seguridad crítica, identificada como ZDI-CAN-25373, que está siendo activamente explotada por grupos APT patrocinados por estados como Corea del Norte, Irán, Rusia y China.
Se han detectado cerca de 1.000 archivos maliciosos .lnk aprovechando esta falla, y los objetivos incluyen sectores sensibles como gobiernos, finanzas, telecomunicaciones, defensa y energía en todo el mundo.
Y lo más alarmante: Microsoft no planea corregirla.
🔍 ¿Cuál es el riesgo?
Los atacantes están utilizando archivos de acceso directo de Windows (.lnk) especialmente manipulados para ejecutar comandos maliciosos ocultos, eludiendo la detección de antivirus y otras defensas. Esto puede llevar a robo de datos, espionaje y compromisos de red profundos.
📉 El verdadero problema
Aunque esta vulnerabilidad está siendo ampliamente explotada, Microsoft ha decidido no publicar ningún parche. Esto deja a las organizaciones completamente expuestas si no toman medidas de mitigación por su cuenta.
💡 ¿Qué pueden hacer las organizaciones?
Ante la ausencia de una solución oficial, es crítico implementar defensas propias. Aquí algunas recomendaciones clave:
✅ Escanear y bloquear archivos .lnk sospechosos
✅ Reforzar la seguridad de endpoints y redes
✅ Usar herramientas de inteligencia de amenazas para detectar posibles compromisos
✅ Asumir que hay una brecha y realizar búsquedas proactivas de actividades anómalas en cmd.exe o PowerShell relacionadas con archivos .lnk
🛡️ ¿Estás protegido si usas Trend Micro?
Sí. Los productos de Trend Micro ya cuentan con reglas de detección activas para esta amenaza:
Trend Vision One™ – Network Security
44844: ZDI-CAN-25373: Vulnerabilidad Zero Day (Microsoft Windows)
Trend Vision One™ – Endpoint Security, Deep Security™, Network Sensor y Deep Discovery Inspector (DDI)
5351: Vulnerabilidad Zero Day en Microsoft Windows – HTTP (RESPONSE)1012182: Explotación Zero Day vía HTTP1012183: Explotación Zero Day vía SMB
🔗 Consulta las reglas completas
📢 ¿Por qué esto es tan preocupante?
Esta vulnerabilidad lleva explotándose desde 2017, y aún hoy no hay corrección oficial por parte del proveedor. Esto pone sobre la mesa una cuestión urgente:
¿Estamos realmente preparados para la próxima ola de ciberamenazas?
La sofisticación creciente de los exploits de día cero resalta una verdad incómoda: muchas organizaciones aún carecen de monitoreo y respuesta en tiempo real, un componente esencial de la ciberseguridad moderna.
🔎 Recursos adicionales
- 📝 Informe detallado del hallazgo
- 🧾 Indicadores de compromiso (IOCs)
- 👥 Investigación por: Peter Girnus & Aliakbar Zahravi