Detección CVE-2025-21298: Vulnerabilidad Crítica de OLE Sin Interacción en Microsoft Outlook Resulta en Ejecución Remota de Código
Tabla de contenidos:
Justo después de la divulgación de una vulnerabilidad de denegación de servicio (DoS) en Windows LDAP, conocida como CVE-2024-49113 también llamada LDAPNightmare, surge otra vulnerabilidad altamente crítica que afecta a los productos de Microsoft. La recientemente parcheada vulnerabilidad en Microsoft Outlook, rastreada como CVE-2025-21298, plantea riesgos significativos para la seguridad del correo electrónico al permitir a los atacantes realizar RCE en dispositivos Windows a través de un correo electrónico especialmente diseñado.
Detectar Intentos de Explotación de CVE-2025-21298 con la Regla Sigma Gratuita de SOC Prime
Solo en enero de 2025, se han identificado 2,560 vulnerabilidades, haciendo que el comienzo del año sea un período particularmente de alto riesgo debido al aumento de vulnerabilidades bajo explotación activa. Ejemplos notables incluyen CVE-2024-49112, CVE-2024-55591, y CVE-2024-49113.
Intensificando aún más la urgencia, CVE-2025-21298—una falla de cero clic con una calificación de severidad de 9.8 que resulta en ejecución de código remoto (RCE) en instancias afectadas—ha sido divulgada, planteando una amenaza severa que requiere acción inmediata. Plataforma SOC Prime para la defensa cibernética colectiva ofrece una regla Sigma gratuita para detectar intentos de explotación a tiempo.
MS Office Lanza Archivos Sospechosos (vía file_event)
Esta regla ayuda a identificar sistemas que interactúan con .rtf archivos u otros tipos de archivos sospechosos comúnmente vinculados a la explotación de OLE, con un enfoque adicional en parchear hosts que procesan activamente extensiones de alto riesgo (por ejemplo, .rtf, .dll, .exe). La detección es compatible con múltiples soluciones SIEM, EDR y Data Lake y está mapeada para MITRE ATT&CK, abordando la técnica de Explotación para Ejecución de Cliente (T1203) y el subtécnica de Phishing: Spearphishing Attachment (T1566.001). Además, la regla está enriquecida con metadatos extensos, incluidas referencias CTI, cronogramas de ataque y más.
Los profesionales de seguridad que buscan contenido más relevante sobre los intentos de explotación de vulnerabilidades pueden rastrear cualquier nueva regla agregada al Mercado de Detección de Amenazas con la etiqueta CVE-2025-21298. Además, los defensores cibernéticos pueden acceder a toda la pila de detección dirigida a la detección proactiva de explotación de vulnerabilidades presionando el botón Explorar Detecciones a continuación.
Análisis de CVE-2025-21298
CVE-2025-21298, una vulnerabilidad crítica de RCE de cero clic abordada en la última actualización de Patch Tuesday de Microsoft en 2025, tiene una calificación de 9.8 basada en la puntuación CVSS. La falla puede ser activada por un documento RTF dañino, a menudo enviado como un adjunto o enlace en campañas de phishing diseñadas para atraer a las víctimas a abrirlos.
La vulnerabilidad existe en Windows OLE, una tecnología que permite la incrustación y vinculación de documentos y objetos. Según Microsoft, la explotación puede ocurrir si una víctima abre o previsualiza un correo electrónico especialmente diseñado en Outlook. Los atacantes usan esta falla enviando un correo electrónico malicioso, y simplemente abriendo o previsualizando el correo en Outlook se puede desencadenar RCE en el sistema objetivo.
Los defensores consideran que CVE-2025-21298 es una gran amenaza para las organizaciones debido a su baja complejidad de ataque y nivel bajo de interacción del usuario. Tras la explotación exitosa, la vulnerabilidad podría causar un compromiso completo del sistema, otorgando a los atacantes vía libre para ejecutar código arbitrario, instalar software ofensivo, modificar o eliminar datos y acceder a información sensible.
Como posibles medidas de mitigación para CVE-2025-21298, es imperativo aplicar el parche inmediatamente, especialmente en lo que respecta a clientes de correo electrónico como Outlook. Para las organizaciones que no pueden instalar las actualizaciones requeridas, los defensores recomiendan usar la solución alternativa proporcionada por Microsoft para abrir archivos RTF de fuentes desconocidas en formato de texto plano. Confíe en Plataforma SOC Prime para la explotación proactiva de vulnerabilidades y una defensa a prueba de futuro contra cualquier amenaza cibernética emergente utilizando una suite completa de productos para la detección avanzada de amenazas, búsqueda automatizada de amenazas e ingeniería de detección basada en inteligencia.
