Vulnerabilidad Zero-Click en Windows Permite Fuga de Credenciales NTLM (CVE-2025-50154)
Una nueva vulnerabilidad crítica en sistemas Windows, identificada como CVE-2025-50154, ha sido descubierta por Cymulate Research Labs. Esta falla permite a atacantes extraer hashes NTLMv2 sin interacción del usuario, incluso en sistemas completamente parcheados. El exploit aprovecha el manejo de archivos de acceso directo “.lnk” en Windows Explorer, desencadenando autenticaciones automáticas y la descarga de binarios maliciosos.
¿Qué hace esta vulnerabilidad tan peligrosa?
- Zero-click exploit: Basta con que el usuario visualice un archivo “.lnk” malicioso en el explorador de Windows para que se inicie la fuga de credenciales.
- Impacto dual: Se exponen hashes NTLMv2-SSP y se descargan payloads maliciosos sin ejecución inmediata.
- Alcance amplio: Afecta desde Windows 7 hasta Windows 11 v24H2, incluyendo Windows Server 2025, incluso si están completamente actualizados.
- Riesgo elevado: Facilita ataques de relay NTLM, escalación de privilegios y movimiento lateral dentro de la red corporativa.
Recomendaciones de mitigación
El equipo de ciberseguridad de SOINFCO recomienda aplicar las siguientes medidas para proteger tu infraestructura:
- Restringir conexiones SMB desde IPs no confiables mediante reglas de firewall.
- Habilitar el grupo de usuarios protegidos en Active Directory para limitar el uso de NTLM.
- Migrar a autenticación Kerberos siempre que sea posible.
- Monitorear archivos “.lnk” sospechosos y aplicar reglas de detección en herramientas de protección de endpoints.
¿Cómo podemos ayudarte desde SOINFCO?
Desde nuestros servicios de ITO y Ciberseguridad, te apoyamos en:
- Gestión proactiva de vulnerabilidades
- Actualización y parcheo automatizado de software
- Monitoreo 24/7 de infraestructura y endpoints
- Fortalecimiento de tu postura de seguridad digital
Únete a nosotros en el camino hacia una operación IT más segura y resiliente.
