Microsoft soluciona importantes fallos de seguridad en Outlook

Todos los meses Microsoft publica uno o varios boletines de seguridad en los que soluciona aquellas vulnerabilidades descubiertas en las últimas semanas. En el parche correspondiente a febrero se han proporcionado nada menos que 50 parches de seguridad que arreglan agujeros en varios productos, entre los que encontramos el propio sistema operativo Windows, MS Office, Internet Explorer y Edge.

Ejecución de código en Outlook

De todas las vulnerabilidades solucionadas hay dos especialmente peligrosas que afectan al conocido gestor de correos electrónicos Outlook. La primera de ellas permitiría a un atacante tomar el control del sistema siempre que el usuario esté registrado en el sistema con permisos de administrador (algo demasiado común, desgraciadamente).

Para que el ataque tenga éxito, el usuario debe abrir un archivo especialmente creado por el atacante en una versión vulnerable de Outlook. Una vez conseguido, el atacante podrá ejecutar código malicioso en el sistema del usuario con los permisos de los que disponga en ese momento.

El verdadero problema de esta vulnerabilidad es que no es necesario que el usuario ejecute un fichero adjunto a un email, ya que el malware puede ejecutarse desde el panel de previsualización. Esto significa que simplemente viendo el contenido de un mensaje desde una versión vulnerable de Outlook puede comprometerse un sistema. La facilidad con la que podría utilizarse este vector de ataque para propagar amenazas hace necesario el parcheo inmediato de todos los sistemas vulnerables.

La otra vulnerabilidad grave que afecta a Outlook permite a un atacante infectar un sistema con tan solo enviar un correo especialmente modificado. La vulnerabilidad obliga a Outlook a intentar cargar el mensaje cuando lo recibe, algo que permitiría la ejecución de código automática sin interacción alguna por parte del usuario.

Huelga decir que estas dos vulnerabilidades son lo suficientemente críticas como para que su parcheo sea una prioridad para los millones de usuarios con los que cuenta el cliente de correo de Microsoft, repartidos por todo el mundo.

Vulnerabilidades en MS Edge

Los navegadores de Microsoft tampoco se libran de su ración mensual de parches de seguridad. En esta ocasión Edge tiene un grave fallo que permitiría a un atacante saltarse las restricciones SOP que implementa y permitir solicitudes que deberían ser ignoradas. A pesar de que la posibilidad de explotación de esta vulnerabilidad es limitada, un ataque dirigido permitiría obtener información confidencial muy interesante desde el navegador.

Asimismo, también se ha observado una docena de fallos que provocan corrupción en la memoria del navegador y una vulnerabilidad grave en el componente de Windows StructuredQuery, que permite la ejecución de código con los permisos del usuario registrado en el sistema. Si bien no deja de ser una vulnerabilidad grave, en este caso se requiere que la víctima abra un archivo o pulse sobre un enlace que le lleve a una web maliciosa controlada por el atacante.

Conclusión

Cada vez que se publica un boletín mensual se suele recomendar actualizar los sistemas y aplicaciones lo antes posible. Eso es fácil en entornos domésticos o en aquellas empresas con pocos puestos, pero en grandes corporaciones se debe primero realizar pruebas para asegurarse de que los parches no provocan incidentes. Esta ventana de tiempo puede ser aprovechada por los atacantes para, por ejemplo, usando las vulnerabilidades en Outlook, provocar una propagación masiva de amenazas en entornos corporativos.

Por eso es importante mitigar los efectos de estos posibles ataques. Una medida recomendable es limitar los permisos con los que cuentan los usuarios, para que no se pueda ejecutar código con privilegios excesivos que puedan comprometer la seguridad de todo el sistema.

Josep Albors

Internet of Miners: cómo el minado no autorizado de criptodivisas está afectando al IoT