Conecta con nosotros

Noticias

Descubrir un fallo de seguridad en Outlook vale 24.000 dólares

Publicado el

microsoft-recompensa-investigador

Los fallos de seguridad en el correo electrónico pueden causar muchos quebraderos de cabeza. Cada cierto tiempo se descubre uno realmente grave, que en muchos casos puede desembocar en robo de información, envío de spam o pérdida completa del control del correo. Como la que descubrió este verano el experto en seguridad Wesley Wineberg en el sistema de autenticación de Live.com, que permite a un hacker conseguir el control de una cuenta de Outlook.

Wineberg, que tras su descubrimiento avisó a Microsoft del fallo sin darle más publicidad, ha recibido una recompensa de 24.000 dólares. Por su parte, Microsoft, que cuenta con un programa de recompensa a los que le comunican este tipo de problemas, ya ha resuelto el problema de seguridad.

Para demostrar la existencia del problema, Wineberg analizó el tipo de acceso que Outlook daba a otras apps, a través del popular sistema de autenticación OAuth. Con dicho sistema, para ganar acceso a determinados servicios y elementos de una aplicación o servicio, se pregunta a su propietario si desea que una app tenga permiso para hacerlo, y mientras que no se responde afirmativamente, no cuenta con permiso.

Mientras lo llevaba a cabo, descubrió que bastaba con crear una app con un mecanismo que permitiese saltarse este sistema de identificación para conseguir acceso a Outlook y engañar al usuario afectado para visitar una web para que esa app consiguiese acceso a todo lo almacenado en la cuenta, desde los mensajes de correo hasta las direcciones de la agenda.

En esencia, se trata de una vulnerabilidad bastante conocida entre los expertos en seguridad online (Cross-site request forgery, que quiere decir Petición de falsificación de sitios cruzados). Lo más habitual es que el ataque efectuado a través de este tipo de brecha de seguridad termina si el usuario legítimo del servicio se desconecta del mismo, pero en el caso de Outlook no es así, y los atacantes que la explotasen obtendrían acceso permanente a la cuenta.

Pero ese no es el único problema, ya que un atacante con cierta experiencia podría servirse de esta vulnerabilidad para generar un gusano convencional que ataca al email muy similar a los que solían aparecer en décadas pasadas. Con este tipo de gusano, tal como ha declarado Wineberg a Forbes, “después del ataque a la primera víctima, esta vulnerabilidad puede utilizarse para enviar un mensaje de correo electrónico a todos sus contactos, con un enlace que también pondría en peligro las cuentas de dichos usuarios.” Así, el gusano podría expandirse y atacar a nuevos usuarios que hagan clic en dicho link.

Wineberg, que descubrió la vulnerabilidad en su tiempo libre, no sabe durante cuánto tiempo habrá afectado a Outlook. Tampoco es consciente de que alguien haya tratado de utilizarla. De lo que sí está seguro, tal como afirma en un post en el blog de Synack, es de que “descubrimientos como este son los que muestran la utilidad de permitir a investigadores externos enviar las vulnerabilidades que descubran a las empresas antes de que los atacantes las usen contra ellas. Microsoft está mucho más adelantada que la mayoría de empresas en lo que se refiere a la seguridad, y aun así sigue estando expuesta a problemas como este. La experiencia de Synack demuestra que aparecen vulnerabilidades ocultas incluso en sistemas que, aparentemente, son seguros. Basta con que un equipo de expertos externos hagan pruebas en él”.

Top 5 cupones

Lo más leído

Suscríbete gratis a MCPRO

La mejor información sobre tecnología para profesionales IT en su correo electrónico cada semana. Recibe gratis nuestra newsletter con actualidad, especiales, la opinión de los mejores expertos y mucho más.

¡Suscripción completada con éxito!