Vulnerabilidad crítica en Microsoft
INTRODUCCIÓN:
En enero de 2025, Microsoft solucionó una vulnerabilidad crítica, identificada como CVE-2025-21298, que afectaba a la tecnología Object Linking and Embedding (OLE) en sistemas Windows. Esta vulnerabilidad permite la ejecución remota de código (RCE) sin interacción del usuario, ya que Outlook solo necesita previsualizar un archivo RTF malicioso para que se active el exploit.
Microsoft ha lanzado una actualización de seguridad en enero de 2025 para mitigar este problema. Se recomienda encarecidamente aplicar este parche de inmediato y considerar medidas adicionales, como deshabilitar la previsualización de archivos RTF en Outlook, para proteger los sistemas afectados.
ANÁLISIS:
CVE-2025-21298 CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H - 9.8:
La vulnerabilidad se encuentra en ole32.dll!UtOlePresStmToContentsStm. El propósito de la función es convertir los datos de un flujo «OlePres» dentro de un almacenamiento OLE en datos con el formato adecuado e insertarlos en el flujo «CONTENTS» del mismo almacenamiento. Recibe un puntero IStorage a un objeto de almacenamiento y tres argumentos sin importancia.
El problema está en la variable pstmContents. Inicialmente, se utiliza para almacenar el puntero al objeto stream «CONTENTS» que se crea al principio de la función. El stream es destruido inmediatamente después de ser creado y el puntero almacenado en pstmContents es liberado (lo que lo libera en coml2.dll!ExposedStream::~ExposedStream). Sin embargo, la variable todavía contiene el puntero liberado. A continuación, en la función, la variable puede ser reutilizada para almacenar el puntero al flujo «CONTENTS» de nuevo - debido a esto, hay un código de limpieza al final de la función que libera el puntero en caso de que esté almacenado en la variable. El código no tiene en cuenta el hecho de que UtReadOlePresStmHeader puede fallar - si eso sucede, pstmContents seguirá apuntando hacia el puntero liberado y caeremos en el código de limpieza, que liberará el puntero de nuevo. Por lo tanto, se producirá una situación de doble liberación.
VERSIONES AFECTADAS:
Windows 10 versión 1809 afectado desde la versión 10.0.17763.0 previo a la versión 10.0.17763.6775
Windows Server 2019 afectado desde la versión 10.0.17763.0 previo a la versión 10.0.17763.6775
Windows Server 2022 afectado desde la versión 10.0.20348.0 previo a la versión 10.0.20348.3091
Windows 10 versión 21H2 afectado desde la versión 10.0.19043.0 previo a la versión 10.0.19044.5371
Windows 11 versión 22H2 afectado desde la versión 10.0.22621.0 previo a la versión 10.0.22621.4751
Windows 10 versión 22H2 afectado desde la versión 10.0.19045.0 previo a la versión 10.0.19045.5371
Windows 11 versión 22H3 afectado desde la versión 10.0.22631.0 previo a la versión 10.0.22631.4751
Windows 11 versión 23H2 afectado desde la versión 10.0.22631.0 previo a la versión 10.0.22631.4751
Windows Server 2022, 23H2 Edition (Server Core installation) afectado desde la versión 10.0.25398.0 previo a la versión 10.0.25398.1369
Windows 11 versión 24H2 afectado desde la versión 10.0.26100.0 previo a la versión 10.0.26100.2894
Windows Server 2025 afectado desde la versión 10.0.26100.0 previo a la versión 10.0.26100.2894
Windows 10 versión 1507 afectado desde la versión 10.0.10240.0 previo a la versión 10.0.10240.20890
Windows 10 versión 1607 afectado desde la versión 10.0.14393.0 previo a la versión 10.0.14393.7699
Windows Server 2016 afectado desde la versión 10.0.14393.0 previo a la versión 10.0.14393.7699
Windows Server 2008 Service Pack 2 afectado desde la versión 6.0.6003.0 previo a la versión 6.0.6003.23070
Windows Server 2008 Service Pack 2 afectado desde la versión 6.0.6003.0 previo a la versión 6.0.6003.23070
Windows Server 2008 R2 Service Pack 1 afectado desde la versión 6.1.7601.0 previo a la versión 6.1.7601.27520
Windows Server 2012 afectado desde la versión 6.2.9200.0 previo a la versión 6.2.9200.25273
Windows Server 2012 R2 afectado desde la versión 6.3.9600.0 previo a la versión 6.3.9600.22371
RECOMENDACIONES:
La recomendación de Microsoft es instalar las actualizaciones de seguridad. Implemente las actualizaciones de seguridad de enero de 2025 en los sistemas Windows afectados, tanto servidores como clientes.
Como una solución temporal, Microsoft indica que modificar la configuración de Outlook para que muestre los mensajes en texto plano evita esta vulnerabilidad. Restringir o bloquear el manejo de archivos RTF en otras aplicaciones si es posible.
REFERENCIAS:
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-21298
https://www.vulnu.com/p/zero-click-ole-rce-cve-2025-21298-microsoft-outlook-impacted
https://github.com/ynwarcs/CVE-2025-21298