El gobierno de EE. UU. advierte a los usuarios sobre la necesidad de corregir un importante fallo en Microsoft Outlook.
Se está aprovechando de manera activa una vulnerabilidad crítica en Outlook.
La Agencia de Seguridad Cibernética e Infraestructura de EE. UU. (CISA) ha incluido una falla en Outlook de 2024 en su catálogo de vulnerabilidades conocidas, alertando a los usuarios sobre su abuso en entornos reales. La agencia ha establecido un plazo de tres semanas, hasta el 27 de febrero, para que las entidades federales parchen la falla o dejen de utilizar la herramienta.
La vulnerabilidad, identificada como CVE-2024-21413, consiste en una mala validación de entradas que afecta a Microsoft Outlook. Este problema, descubierto en 2024 por el investigador Haifei Li de Check Point, ha sido calificado con una severidad crítica de 9.8/10. Los ciberdelincuentes pueden crear mensajes de correo electrónico con un tipo particular de hipervínculo que les permite ejecutar código de manera remota. Al explotar esta vulnerabilidad, los atacantes pueden eludir la Vista Protegida de Outlook, diseñada para abrir archivos potencialmente dañinos en modo de solo lectura, y abrir archivos maliciosos en modo de edición.
Microsoft lanzó un parche para esta falla a finales de 2024, alertando a los usuarios que el panel de vista previa también podría ser un vector de ataque. Esto implica que las víctimas no necesitan abrir el correo electrónico para ser infectadas; simplemente previsualizarlo en Outlook podría ser suficiente.
El riesgo asociado es considerable. La vulnerabilidad no solo afecta a Outlook, sino que también se ha encontrado en otros productos de Office, como Microsoft Office LTSC 2021, Microsoft 365 Apps for Enterprise, Microsoft Outlook 2016 y Microsoft Office 2019. Aunque no se tenía evidencia de abusos en el momento de la publicación del parche, la inclusión de esta falla en el catálogo de vulnerabilidades conocidas indica que está siendo activamente explotada por delincuentes.
Además de la falla en Outlook, la CISA ha añadido otras cuatro vulnerabilidades a la lista, incluyendo una relacionada con 7-Zip, una en el proceso de descubrimiento de Dante, una inyección SQL en CyberoamsOS y un desbordamiento de búfer en Sophos XG Firewall. Las agencias federales deben corregir todas estas vulnerabilidades antes de marzo de 2025.
