La vulnerabilidad CVE-2025-21298, con una puntuación CVSS de 9,8, es un fallo crítico de ejecución remota sin interacción del usuario que afecta a Windows OLE y fue corregido en la última actualización de seguridad de Microsoft y mencionado en nuestro Portal CCI. Esta falla permite a los atacantes comprometer sistemas al enviar correos electrónicos maliciosos con documentos RTF dañinos. Simplemente abrir o previsualizar dichos correos en Outlook puede activar la vulnerabilidad, otorgando a los atacantes control total del sistema afectado. Esto incluye la capacidad de ejecutar código arbitrario, instalar software malicioso, modificar datos y acceder a información sensible, lo que representa un alto riesgo para las organizaciones debido a su facilidad de explotación.
Afectación
Esta vulnerabilidad afecta a la tecnología OLE de Windows.
En cuanto a las versiones, afecta a los productos Windows Server (2008 a 2025) y a los sistemas operativos Windows 10/11. Si desea ver en detalle el listado completo de las versiones y productos afectados puede ingresar al siguiente enlace.
PoC disponible públicamente
Hemos detectado que existe una PoC disponible públicamente en GitHub.
Este es un PoC de corrupción de memoria, no un exploit, pero hay un archivo rtf en este repositorio que reproduce la vulnerabilidad. Esta PoC fue reproducida por nuestros especialistas comprobando su veracidad.
Ilustración 1: Error de corrupción de memoria PoC CVE-2025-21298
Apreciación
La vulnerabilidad CVE-2025-21298 representa una amenaza crítica debido a su capacidad de explotación remota sin interacción del usuario, lo que facilita ataques altamente efectivos contra sistemas basados en Windows. La falla reside en el componente OLE y afecta a una amplia gama de versiones, incluyendo servidores y estaciones de trabajo. Su vector de ataque principal, el uso de archivos RTF maliciosos o correos electrónicos procesados en Outlook, convierte a esta vulnerabilidad en una herramienta para los atacantes, con el potencial de comprometer los sistemas objetivo.
Aunque Microsoft ha lanzado parches y guías de mitigación, el riesgo persiste para quienes no actualicen sus sistemas o no implementen medidas preventivas para mitigar esta vulnerabilidad.
Mitigación
Se recomienda lo siguiente:
- Instale inmediatamente las actualizaciones de seguridad proporcionadas por Microsoft para todos los sistemas afectados, incluyendo Windows Server (2008 a 2025) y Windows 10/11. Esto es esencial para cerrar la vulnerabilidad en el componente Windows OLE.
- Ajuste la configuración de Microsoft Outlook para procesar los mensajes de correo electrónico únicamente en formato de texto sin formato, evitando la representación de archivos RTF que puedan contener objetos OLE maliciosos.
- Realice charlas de concientización a los usuarios sobre los riesgos de abrir o previsualizar archivos adjuntos de fuentes desconocidas.
- Refuerce los sistemas mediante herramientas de detección de amenazas y políticas de control de contenido para bloquear archivos RTF maliciosos antes de que lleguen al usuario final.
- Utilice firewalls y proxies para monitorear y limitar el tráfico sospechoso en portales Exchange y Outlook Web Access.
Fuentes Utilizadas
