La suite Microsoft Office es la más utilizada en todo el mundo por sus excelentes aplicaciones y simplicidad de uso. Se acaba de descubrir que las aplicaciones que la conforman sufren de una grave vulnerabilidad de inyección de biblioteca. Concretamente, esto sucede en la versión de macOS, permitiendo el acceso externo a un atacante malicioso gracias a los permisos ya establecidos.
Pese a que existen diferentes suites de ofimática de código abierto, la de Microsoft sigue siendo la más popular actualmente. Cuenta con las reputadas aplicaciones Word, Excel y PowerPoint, así como Outlook, Teams y OneNote.
Hace tiempo la compañía la comercializa como un servicio de suscripción con características adicionales. Ofrece mejoras de protección contra virus y malware o acceso a capacidad adicional en la nube OneDrive, propia de Microsoft. El problema es que se acaba de descubrir un grave agujero de seguridad que compromete el sistema de los usuarios.
Microsoft Office tiene una grave vulnerabilidad de inyección de biblioteca
Debes saber que la versión de esta suite para el sistema operativo de Apple es diferente de las otras versiones. Utiliza un modelo que se basa en permisos que se solicita a los clientes que habiliten de manera manual en las aplicaciones. Esto es necesario para acceder a ciertas informaciones y herramientas del dispositivo.
Una inyección de biblioteca requiere de grandes conocimientos técnicos. El problema en este caso es que la debilidad pertenece a un software de Microsoft de uso muy común. La parte positiva es que se limita al problema a quienes usan macOS, reduciendo notablemente el alcance.
Sin estos permisos, por ejemplo, Office para macOS no podría acceder a las fotos, contactos, cámara o micrófono, entre otros. Tras la concesión de los permisos, el sistema operativo recuerda la configuración para no molestar al usuario en el futuro. Precisamente, este mecanismo es que estarían usando los atacantes.
La vulnerabilidad en cuestión permite al atacante copiar la aplicación en una ubicación que controle. Posteriormente, realiza una inyección de biblioteca para usar los derechos de la aplicación. Esencialmente, el atacante tiene la opción de grabar video y sonido, acceder a datos personales o registrar el inicio de sesión.
Incluso, los atacantes pueden tomar el control de las aplicaciones sin enterarnos. Tienen la capacidad de mandar correos electrónicos mediante Outlook, descargar las fotos de la carpeta «Imágenes» o hasta aumentar los privilegios.
Microsoft habría catalogado la vulnerabilidad como de «bajo riesgo». La compañía, además, destaca que algunas de sus aplicaciones «deben permitir la carga de bibliotecas no firmadas para admitir complementos». No queda del todo claro si van a corregir esta vulnerabilidad o no.
Destacar que Teams y OneNote se habrían actualizado recientemente y ya no son vulnerables al ataque explicado. No hay datos sobre desde que versión pasa esto, por lo que deberemos bajar la última versión e instalarla. Parece ser que las aplicaciones Excel, Outlook, PowerPoint y Word seguirían siendo susceptibles.
Microsoft, de momento, no ha dicho nada de las implicaciones reales de esta vulnerabilidad. Se recomienda a las empresas y usuarios revisar los permisos de las aplicaciones de esta suite ofimática. Además, se insta a los usuarios a estar activamente pendientes de próximas actualizaciones.