"Un grave riesgo": una vulnerabilidad en Outlook abre la puerta a que los usuarios sean infectados sin darse cuenta

  • Se trata de una vulnerabilidad de clic cero

  • Microsoft ya ha lanzado un parche para abordar el problema

  • Es importante actualizar la aplicación para estar protegido

Outlook Vulnerabilidad Portada
5 comentarios Facebook Twitter Flipboard E-mail

Sabemos que las actualizaciones de software son clave para garantizar la seguridad de nuestros dispositivos, pero es importante tener presente que no basta con actualizar únicamente el sistema operativo. También es necesario mantener actualizada cada aplicación individualmente.

Uno de los ejemplos más claros de esta realidad podemos encontrarlo en Outlook. Los investigadores de Morphisec descubrieron recientemente una ‘vulnerabilidad de clic cero’ en este popular gestor de correo electrónico utilizado por millones de usuarios.

Los usuarios que actualizaron la aplicación están protegidos

Cuando hablamos de una vulnerabilidad de clic cero estamos haciendo referencia a un fallo de seguridad que permite comprometer un sistema sin que el usuario realice acción determinada. Como podemos ver, esto es particularmente peligroso porque los atacantes no necesitan persuadir a la víctima para lograr su cometido.

La vulnerabilidad de Outlook en cuestión ha recibido el identificador “CVE-2024-38021”. Según explica Morphisec, si se explota puede dar lugar a filtraciones de datos, accesos no autorizados y otras actividades maliciosas debido a la ejecución arbitraria de código. La buena noticia es que los usuarios que descargaron las últimas actualizaciones de Outlook ya están protegidos.

Microsoft no ha tardado en lanzar un parche de seguridad para corregir la mencionada vulnerabilidad. Para ser precisos, la compañía lo hizo el pasado martes 9 de julio. Si todavía no has actualizado tu gestor de correo electrónico es un muy buen momento para aplicar los últimos parches y reforzar la seguridad de tu sistema.

Outlook

En este punto es preciso recordar la importancia de tener software legítimo y vigente. Los parches de seguridad solo llegan a las aplicaciones que cumplen con estos requisitos, por lo que estar fuera de esta órbita se traduce en una mayor exposición a las amenazas de seguridad que circulan a diario en el mundo.

Microsoft ha calificado a la vulnerabilidad “CVE-2024-38021” como “importante” en lugar de “crítica”. Esto se debe principalmente a que el vector de ‘clic cero’ puede ser aprovechado únicamente cuando el mensaje fraudulento proviene de un remitente de confianza. Morphisec, por su parte, ha pedido a la compañía de Redmond que reevalúe la gravedad del fallo y lo etiquete como ‘crítico’.

En caso de que un atacante quisiera explotar esta vulnerabilidad enviando un menaje desde un remitente desconocido, el usuario debería realizar una acción, como abrir un archivo adjunto o hacer clic en un enlace, para finalmente ser infectado.

Morphisec insiste en su nivel de gravedad al señalar que la suplantación de remitentes es una realidad. "Dada su naturaleza de cero clics (para remitentes de confianza) y la falta de requisitos de autenticación, CVE-2024-38021 supone un grave riesgo", dicen desde la firma de ciberseguridad.

Imágenes | Morphisec | Microsoft

En Xataka | Por qué Wiz vale 23.000 millones de dólares: así es la empresa con la que Google quiere liderar la ciberseguridad mundial

Inicio