Recientemente, se han descubierto serias vulnerabilidades en varias aplicaciones de Microsoft diseñadas para el sistema operativo macOS. Estas fallas de seguridad permiten a los atacantes explotar permisos de aplicaciones para acceder a funciones sensibles como la cámara, el micrófono y otros datos personales sin el conocimiento del usuario.
Detalles de las Vulnerabilidades
Las vulnerabilidades, identificadas por el grupo de ciberseguridad Cisco Talos, afectan a aplicaciones populares de Microsoft como Outlook, Teams, Word, PowerPoint, Excel y OneNote. Estas aplicaciones contienen fallas que permiten la inyección de bibliotecas maliciosas. Este tipo de ataque permite a los hackers obtener permisos que los usuarios han concedido previamente a las aplicaciones legítimas, permitiéndoles realizar acciones como grabar audio y video sin que el usuario lo sepa(
9to5Mac).
El problema radica en el modelo de permisos de macOS, conocido como Transparencia, Consentimiento y Control (TCC), que gestiona las solicitudes de acceso a funciones como el micrófono, la cámara y otros recursos sensibles. Aunque el sistema de seguridad de macOS requiere la aprobación del usuario para otorgar estos permisos, las aplicaciones de Microsoft afectadas permiten que los hackers eviten estas solicitudes utilizando permisos ya concedidos(
ITPro).
Reacciones de Microsoft y Apple
Microsoft ha actualizado algunas de sus aplicaciones, como Teams y OneNote, para abordar estos problemas mediante cambios en la validación de bibliotecas. Sin embargo, otras aplicaciones, incluidas Excel, PowerPoint, Word y Outlook, permanecen vulnerables. Microsoft ha declarado que considera estas vulnerabilidades de bajo riesgo porque requieren que el atacante ya tenga cierto nivel de acceso al sistema(
Dexerto).
Cisco Talos ha cuestionado esta respuesta, argumentando que Microsoft debería deshabilitar ciertas características de validación de bibliotecas para reducir el riesgo. Además, sugieren que Apple podría mejorar la seguridad del marco TCC implementando más controles y alertas cuando se cargan plugins de terceros(
Recomendaciones de Seguridad
Dada la gravedad de estas vulnerabilidades, se recomienda a los usuarios de macOS:
- Actualizar las aplicaciones de Microsoft: Asegúrese de que todas las aplicaciones de Microsoft estén actualizadas a la última versión disponible.
- Revisar los permisos de las aplicaciones: Revise y ajuste los permisos de las aplicaciones regularmente para garantizar que no se otorguen más permisos de los necesarios.
- Mantenerse informado sobre actualizaciones de seguridad: Siga las noticias y las actualizaciones de seguridad tanto de Microsoft como de Apple para estar al tanto de las últimas amenazas y medidas de seguridad.
- Considerar el uso de software de seguridad adicional: Utilice soluciones de seguridad que puedan detectar comportamientos sospechosos y prevenir accesos no autorizados.
Servicios de AutDefend
En AutDefend, ofrecemos servicios especializados para proteger a tu organización contra amenazas cibernéticas emergentes:
- Auditorías de Seguridad y Evaluaciones de Riesgo: Identificamos y corregimos vulnerabilidades en tu infraestructura.
- Monitoreo Continuo y Respuesta a Incidentes: Implementamos soluciones de monitoreo en tiempo real para detectar y responder a amenazas.
- Capacitación en Ciberseguridad: Programas de formación continua para tu equipo.
- Consultoría en Cumplimiento Normativo: Asesoramos para cumplir con normativas de protección de datos.
Contacto
Para más información o para programar una auditoría de seguridad, visita nuestro sitio web.
AutDefend – Protegiendo tu mundo digital
- Sitio web: autdefen.com
- Correo electrónico: info@autdefen.com
- Teléfono: +52 81 1223 0910