(https://www.bleepstatic.com/content/hl-images/2026/02/11/modern-notepad-spotlight.jpg)
Microsoft ha corregido una vulnerabilidad de "ejecución remota de código" en el Bloc de notas de Windows 11 que permitía a los atacantes ejecutar programas locales o remotos engañando a los usuarios para que hicieran clic en enlaces de Markdown especialmente diseñados, sin mostrar ninguna advertencia de seguridad de Windows.
Con el lanzamiento de Windows 1.0, Microsoft presentó el Bloc de notas, un editor de texto sencillo y fácil de usar que, con los años, se popularizó para tomar notas rápidamente, leer archivos de texto, crear listas de tareas o funcionar como editor de código.
Quienes necesitaban un editor de formato de texto enriquecido (RTF) compatible con diferentes fuentes, tamaños y herramientas de formato como negrita, cursiva y listas, podían usar Windows Write y, posteriormente, WordPad.
Sin embargo, con el lanzamiento de Windows 11, Microsoft decidió descontinuar WordPad y eliminarlo de Windows.
En su lugar, Microsoft reescribió el Bloc de notas para modernizarlo y que funcionara como un editor de texto simple y un editor RTF, añadiendo compatibilidad con Markdown que permite formatear texto e insertar enlaces interactivos.
La compatibilidad con Markdown permite abrir, editar y guardar archivos Markdown (.md), que son archivos de texto sin formato que utilizan símbolos simples para formatear texto y representar listas o enlaces.
Por ejemplo, para poner texto en negrita o crear un enlace interactivo, se debe agregar el siguiente texto Markdown:
[Link to underc0de.org](https://underc0de.org/)
Microsoft corrige la falla de ejecución remota de código (RCE) del Bloc de notas de Windows
Como parte de las actualizaciones del martes de parches de febrero de 2026, Microsoft reveló la corrección de una falla de ejecución remota de código (RCE) de alta gravedad en el Bloc de notas, identificada como CVE-2026-20841.
"La neutralización incorrecta de elementos especiales utilizados en un comando ('inyección de comandos') en la aplicación Bloc de notas de Windows permite a un atacante no autorizado ejecutar código a través de una red", explica el boletín de seguridad de Microsoft.
Microsoft ha atribuido el descubrimiento de la falla a Cristian Papa, Alasdair Gorniak y Chen, y afirma que puede explotarse engañando a un usuario para que haga clic en un enlace malicioso de Markdown.
"Un atacante podría engañar a un usuario para que haga clic en un enlace malicioso dentro de un archivo Markdown abierto en el Bloc de notas, lo que provocaría que la aplicación iniciara protocolos no verificados que cargan y ejecutan archivos remotos", explica Microsoft.
"El código malicioso se ejecutaría en el contexto de seguridad del usuario que abrió el archivo Markdown, otorgando al atacante los mismos permisos que ese usuario", continúa el aviso.
La novedad de la falla atrajo rápidamente la atención en redes sociales, y los investigadores de ciberseguridad descubrieron rápidamente su funcionamiento y lo fácil que era explotarla.
Bastaba con crear un archivo Markdown, como test.md, y crear enlaces file:// que apuntaran a archivos ejecutables o usaran URI especiales como ms-appinstaller://.
Markdown para crear enlaces a ejecutables o para instalar una aplicación
(https://www.bleepstatic.com/images/news/security/vulnerabilities/n/notepad/CVE-2026-20841/poc_1.png)
Si un usuario abría este archivo Markdown en el Bloc de notas de Windows 11 (versión 11.2510 o anterior) y lo visualizaba en modo Markdown, el texto anterior aparecía como un enlace en el que se podía hacer clic. Si se hacía clic en el enlace con Ctrl+clic, el archivo se ejecutaba automáticamente sin que Windows mostrara ninguna advertencia.
La ejecución del programa sin advertencia es lo que Microsoft considera una falla de ejecución remota de código.
El símbolo del sistema de Windows 11 se inició sin previo aviso
(https://www.bleepstatic.com/images/news/security/vulnerabilities/n/notepad/CVE-2026-20841/poc_2.png)
Esto podría permitir a los atacantes crear enlaces a archivos en recursos compartidos SMB remotos que se ejecutarían sin previo aviso.
En las pruebas de corroboración realizadas, Microsoft ha corregido la falla del Bloc de notas de Windows 11 mostrando advertencias al hacer clic en un enlace que no utiliza el protocolo http:// o https://.
(https://www.bleepstatic.com/images/news/security/vulnerabilities/n/notepad/CVE-2026-20841/notepad-warning.jpg)
Ahora, al hacer clic en cualquier otro tipo de enlace URI, como file:, ms-settings:, ms-appinstaller, mailto: y ms-search:, el Bloc de notas mostrará el cuadro de diálogo anterior.
Sin embargo, no está claro por qué Microsoft no impidió los enlaces no estándar desde el principio, ya que aún es posible usar ingeniería social para que los usuarios hagan clic en el botón "Sí" en las solicitudes.
La buena noticia es que Windows 11 actualizará automáticamente el Bloc de notas a través de Microsoft Store, por lo que es probable que la falla no tenga ningún impacto más allá de su novedad.
Fuente:
BleepingComputer
https://www.bleepingcomputer.com/news/microsoft/windows-11-notepad-flaw-let-files-execute-silently-via-markdown-links/