CVE-2025-21298 es una vulnerabilidad crítica presente en Windows OLE que permite la ejecución remota de código, con una puntuación de gravedad CVSS de 9.8. Object Linking and Embedding (OLE) es una tecnología propietaria desarrollada por Microsoft que permite incrustar y vincular documentos y objetos. Esta vulnerabilidad puede ser explotada por atacantes mediante correos electrónicos especialmente diseñados enviados a los usuarios de Microsoft Outlook.

La vulnerabilidad puede activarse al enviar un payload inicial, como un documento RTF que contiene código malicioso incrustado. Simplemente abrir o previsualizar el documento malicioso puede desencadenar la ejecución arbitraria de código en el sistema de la víctima, lo que resulta en la descarga de un payload que potencialmente otorga al atacante un control no autorizado.

Esta vulnerabilidad representa una amenaza significativa para las organizaciones, ya que los atacantes suelen explotarla creando correos electrónicos de phishing que inducen a las víctimas a hacer clic en los archivos adjuntos. Una vez que se abre el documento malicioso, se ejecuta un comando PowerShell en segundo plano que descarga un payload en el sistema de la víctima, proporcionando finalmente el control al atacante.

Recomendaciones

Microsoft ha lanzado una actualización de seguridad para abordar esta vulnerabilidad. Se recomienda encarecidamente a las organizaciones y usuarios instalarla lo antes posible para protegerse contra posibles ataques.

Para aquellos que no puedan instalar la actualización de inmediato, Microsoft ha proporcionado una solución temporal para abrir los archivos adjuntos en texto plano, minimizando así el riesgo.

Soluciones alternativas

• Utilizar Microsoft Outlook para reducir el riesgo de que los usuarios abran archivos RTF de fuentes desconocidas o no confiables.
• Leer los mensajes de correo electrónico en formato de texto plano. Para obtener instrucciones sobre cómo configurar Microsoft Outlook para leer todos los correos estándar en formato de texto plano, consulte la guía oficial: Leer mensajes de correo electrónico en texto plano.

Impacto de las soluciones alternativas

Los mensajes de correo electrónico visualizados en formato de texto plano no contendrán imágenes, fuentes especializadas, animaciones ni otros contenidos avanzados. Como el mensaje todavía está guardado en formato RTF o HTML, el modelo de objetos (soluciones con código personalizado) podría comportarse de manera inesperada.

Referencias

CVE-2025-21298 - Guía de actualización de seguridad - Microsoft - Vulnerabilidad de ejecución remota de código en Windows OLE

Si te preocupa alguna de las amenazas descritas en este boletín o necesitas ayuda para determinar qué pasos tomar para proteger tu organización de las amenazas más relevantes, contacta a tu gestor de cuentas o ponte en contacto con nosotros para descubrir cómo podemos ayudarte.