A veces, las actualizaciones de seguridad más importantes son las que menos se anuncian. Investigadores de seguridad han descubierto que Microsoft ha implementado recientemente un parche silencioso (sin un gran anuncio ni un número CVE destacado inicialmente) para corregir una debilidad en cómo Windows maneja los archivos LNK.
¿Qué es un archivo LNK y por qué importa?
Un archivo .lnkes lo que todos conocemos como un “Acceso Directo” (esos íconos con una flechita en la esquina). Históricamente, estos archivos han sido inofensivos para el usuario promedio, pero letales en manos de ciberdelincuentes. Desde que Microsoft bloqueó las Macros de Office por defecto, los hackers migraron masivamente al uso de archivos LNK maliciosos para iniciar infecciones de ransomware y robo de datos.
El problema que se “arregló”
La vulnerabilidad permitía a los atacantes crear accesos directos manipulados que, al ser descargados de internet, evadían las advertencias de seguridad (como SmartScreen o la “Marca de la Web”). Básicamente, el usuario vio un ícono que parecía un documento PDF o una imagen inofensiva, pero al hacer doble clic, Windows ejecutaba comandos ocultos sin mostrar la alerta habitual de “Este archivo proviene de Internet y puede ser peligroso”.
Con este nuevo cambio, Windows se ha vuelto mucho más estricto al validar la estructura de estos accesos directos, rompiendo la cadena de infección de muchas familias de malware actuales.
El juego del gato y el ratón
Este movimiento es parte de una guerra silenciosa.
- Microsoft bloqueó las Macros de Excel/Word > Los hackers empezaron a usar archivos ISO y LNK.
- Microsoft ahora soporta los LNK > Los hackers buscarán otra vía (probablemente archivos OneNote o PDF con Javascript).
¿Qué significa “Parche Silencioso”?
Cuando una empresa parchea algo “en silencio”, a menudo significa que lo consideran una “mejora de defensa en profundidad” en lugar de una corrección de vulnerabilidad crítica, o que están tratando de no alertar a los atacantes de que su truco favorito ha dejado de funcionar hasta que la mayoría de la gente haya actualizado.
Recomendación
- Regla clave: Activa la regla “Bloquear la ejecución de archivos ejecutables a menos que cumplan con un criterio de prevalencia, edad o lista de confianza” o reglas específicas que bloquean la ejecución de scripts desde procesos de Office o LNKs sospechosos.
