Sabemos que las actualizaciones de software son clave para garantizar la seguridad de nuestros dispositivos, pero es importante tener presente que no basta con actualizar únicamente el sistema operativo. También es necesario mantener actualizada cada aplicación individualmente.
Uno de los ejemplos más claros de esta realidad podemos encontrarlo en Outlook. Los investigadores de Morphisec descubrieron recientemente una ‘vulnerabilidad de clic cero’ en este popular gestor de correo electrónico utilizado por millones de usuarios.
Los usuarios que actualizaron la aplicación están protegidos
Cuando hablamos de una vulnerabilidad de clic cero estamos haciendo referencia a un fallo de seguridad que permite comprometer un sistema sin que el usuario realice acción determinada. Como podemos ver, esto es particularmente peligroso porque los atacantes no necesitan persuadir a la víctima para lograr su cometido.
La vulnerabilidad de Outlook en cuestión ha recibido el identificador “CVE-2024-38021”. Según explica Morphisec, si se explota puede dar lugar a filtraciones de datos, accesos no autorizados y otras actividades maliciosas debido a la ejecución arbitraria de código. La buena noticia es que los usuarios que descargaron las últimas actualizaciones de Outlook ya están protegidos.
Microsoft no ha tardado en lanzar un parche de seguridad para corregir la mencionada vulnerabilidad. Para ser precisos, la compañía lo hizo el pasado martes 9 de julio. Si todavía no has actualizado tu gestor de correo electrónico es un muy buen momento para aplicar los últimos parches y reforzar la seguridad de tu sistema.
En este punto es preciso recordar la importancia de tener software legítimo y vigente. Los parches de seguridad solo llegan a las aplicaciones que cumplen con estos requisitos, por lo que estar fuera de esta órbita se traduce en una mayor exposición a las amenazas de seguridad que circulan a diario en el mundo.
Microsoft ha calificado a la vulnerabilidad “CVE-2024-38021” como “importante” en lugar de “crítica”. Esto se debe principalmente a que el vector de ‘clic cero’ puede ser aprovechado únicamente cuando el mensaje fraudulento proviene de un remitente de confianza. Morphisec, por su parte, ha pedido a la compañía de Redmond que reevalúe la gravedad del fallo y lo etiquete como ‘crítico’.
En caso de que un atacante quisiera explotar esta vulnerabilidad enviando un menaje desde un remitente desconocido, el usuario debería realizar una acción, como abrir un archivo adjunto o hacer clic en un enlace, para finalmente ser infectado.
Morphisec insiste en su nivel de gravedad al señalar que la suplantación de remitentes es una realidad. "Dada su naturaleza de cero clics (para remitentes de confianza) y la falta de requisitos de autenticación, CVE-2024-38021 supone un grave riesgo", dicen desde la firma de ciberseguridad.
Ver 5 comentarios