Ciberseguridad

Una Grieta en el Explorador de Archivos de Windows que Podría Comprometer tu Sistema

Carlos Melero

marzo 21, 2025

Share:

CVE-2025-24071 es una vulnerabilidad de «spoofing» (suplantación de identidad) que afecta al Explorador de Archivos de Windows. En términos sencillos, esta vulnerabilidad permite a un atacante engañar al sistema operativo y al usuario, haciéndoles creer que están interactuando con una fuente de confianza cuando, en realidad, están siendo dirigidos a un recurso malicioso.

Microsoft ha publicado actualizaciones de seguridad que corrigen esta vulnerabilidad, por lo que es fundamental instalar estas actualizaciones lo antes posible.


La vulnerabilidad reside en la forma en que el Explorador de Archivos de Windows maneja ciertos tipos de archivos y enlaces. Un atacante podría crear un archivo o enlace malicioso que, al ser abierto por el usuario, redirige a este a una ubicación controlada por el atacante. Esta ubicación podría ser un sitio web falso, un recurso compartido de red comprometido o incluso un archivo ejecutable malicioso.

Cuando un archivo .library-ms, que contiene una ruta SMB maliciosa, se comprime en un archivo RAR o ZIP y se extrae, el Explorador de Archivos de Windows lo procesa automáticamente. Esto ocurre debido a los mecanismos de indexación y vista previa integrados en Windows.

  • El archivo .library-ms está basado en XML y es considerado de confianza por el Explorador de Archivos para definir ubicaciones de búsqueda y bibliotecas.
  • Al extraer el archivo, el servicio de indexación y el Explorador analizan su contenido XML para generar iconos, miniaturas o metadatos.
  • Un atacante puede insertar una etiqueta <simpleLocation> que apunta a un servidor SMB controlado por él, como \\192.168.1.116\shared.
  • Al extraer el archivo, Windows Explorer intenta resolver esta ruta SMB automáticamente, lo que desencadena una autenticación NTLM implícita desde el sistema de la víctima al servidor SMB del atacante.
  • Esto resulta en el envío del hash NTLMv2 de la víctima sin interacción explícita del usuario.
  • Incluso si el fichero se mueve a la papelera de reciclaje, este seguirá funcionando.


Un atacante podría aprovechar esta vulnerabilidad para:

  • Robo de credenciales: Dirigir al usuario a una página de inicio de sesión falsa para robar sus credenciales de acceso.
  • Instalación de malware: Engañar al usuario para que descargue e instale software malicioso, como ransomware o spyware.
  • Exfiltración de datos: Acceder a archivos y datos sensibles almacenados en el sistema y enviarlos a un servidor remoto.
  • Ataques de phishing: Utilizar la vulnerabilidad como parte de una campaña de phishing más amplia para engañar a los usuarios y obtener información confidencial.
Share: