- La vulnerabilidad CVE-2025-24071 permite a los atacantes obtener credenciales NTLM sin interacción del usuario.
- El fallo afecta múltiples versiones de Windows, incluido Windows 10, 11 y Windows Server.
- El exploit ya está siendo utilizado en ataques reales y vendido en foros clandestinos de ciberseguridad.
- Se recomienda actualizar Windows de inmediato y monitorear conexiones SMB en la red.
Microsoft ha identificado una vulnerabilidad en el Explorador de Archivos de Windows conocida como CVE-2025-24071. Esta falla de seguridad ha sido clasificada con una puntuación CVSS de 7.5, lo que la sitúa en un nivel de riesgo significativo para los usuarios de Windows. Se trata de una vulnerabilidad de suplantación basada en la manera en que Windows Explorer maneja los archivos .library-ms, permitiendo que un atacante pueda obtener credenciales de NTLM sin interacción del usuario.
Actualmente, esta vulnerabilidad ya está siendo explotada activamente, y han aparecido tanto exploits como pruebas de concepto en foros clandestinos de ciberseguridad. Microsoft ha lanzado un parche de seguridad para mitigar el problema. Por lo tanto, se recomienda encarecidamente actualizar los sistemas afectados lo antes posible.
¿En qué consiste la vulnerabilidad CVE-2025-24071?
El problema radica en la confianza implícita y el procesamiento automático de archivos .library-ms por parte de Windows File Explorer. Este tipo de archivos se utilizan para definir bibliotecas de búsqueda en el sistema, y su procesamiento involucra la lectura de contenido XML.
Un atacante puede modificar un archivo .library-ms para que dentro de su estructura contenga una referencia oculta a un servidor SMB malicioso. Al incluir este archivo manipulado dentro de un archivo comprimido (RAR o ZIP), el usuario, al extraer dicho archivo, activará automáticamente el intento de conexión del sistema al servidor SMB del atacante, enviando su hash de autenticación NTLMv2 sin siquiera interactuar de forma explícita con el archivo. Es fundamental tener en cuenta las prácticas recomendadas de seguridad para evitar tales manipulaciones.
Versiones de Windows afectadas
Microsoft ha confirmado que la vulnerabilidad impacta a una amplia gama de versiones del sistema operativo. Algunas de las versiones más afectadas incluyen:
- Windows 10 Version 1809 (32-bit y 64-bit)
- Windows 10 Version 1607
- Windows 11 Version 24H2
- Windows Server 2025, 2022, 2019, 2016 y 2012 R2
Se recomienda que los administradores de TI revisen las versiones de sus sistemas y apliquen el parche publicado por Microsoft. Para más detalles sobre la correcta gestión de la seguridad en Windows, consulta .
Cómo detectar si tu sistema es vulnerable
Los usuarios pueden verificar manualmente si su sistema es vulnerable siguiendo estos pasos:
- Presiona Win + R, escribe winver y verifica la versión de Windows instalada.
- Abre una ventana de sìmbolo del sistema y ejecuta systeminfo para revisar los parches de seguridad aplicados.
Es importante que todos los usuarios mantengan su sistema operativo actualizado para protegerse de vulnerabilidades como CVE-2025-24071 y otros fallos de seguridad. Puedes aprender más sobre cómo reparar problemas de seguridad en Windows.
Medidas de mitigación y actualización
Para mitigar esta vulnerabilidad, se recomienda:
- Actualizar el sistema operativo con los últimos parches de seguridad desde la página oficial de Microsoft.
- Evitar extraer archivos comprimidos de fuentes desconocidas o sospechosas.
- Monitorear el tráfico de red en busca de conexiones SMB inesperadas.
En algunos casos, la actualización automática de Windows puede fallar debido a problemas con la conexión a Internet o configuraciones específicas del sistema. Se recomienda descargar manualmente la actualización necesaria.
Explotación activa y riesgos asociados
Se ha detectado que esta vulnerabilidad ya se está explotando activamente en foros clandestinos. Un actor de amenazas identificado como «Krypt0n» ha puesto en venta un exploit funcional en un foro de ciberseguridad. Asimismo, investigadores de seguridad han publicado pruebas de concepto que muestran cómo los atacantes pueden abusar de esta funcionalidad para robar credenciales NTLM. Para más información, consulta sobre soluciones a problemas en Windows.
El exploit permite realizar ataques de Pass-the-Hash, lo que facilita el acceso no autorizado a sistemas internos y redes empresariales mediante la reutilización de credenciales robadas.
El fallo de seguridad CVE-2025-24071 en Windows File Explorer representa un riesgo significativo para los usuarios y administradores de sistemas. Dado que la vulnerabilidad ya está siendo explotada activamente, es crucial aplicar el parche de seguridad lo antes posible y adoptar medidas de mitigación adicionales para proteger los sistemas. Además, es recomendable monitorear conexiones SMB en la red y evitar abrir archivos comprimidos de fuentes desconocidas.
Redactor apasionado del mundo de los bytes y la tecnología en general. Me encanta compartir mis conocimientos a través de la escritura, y eso es lo que haré en este blog, mostrarte todo lo más interesante sobre gadgets, software, hardware, tendencias tecnológicas, y más. Mi objetivo es ayudarte a navegar por el mundo digital de forma sencilla y entretenida.