Se ha identificado una vulnerabilidad de seguridad significativa en el cliente de correo electrónico Microsoft Outlook, la cual podría permitir la ejecución remota de código arbitrario. Aunque su activación requiere acceso local, la falla, designada como CVE-2025-47176, fue divulgada el 10 de junio de 2025.
Esta vulnerabilidad ha sido clasificada como de gravedad «Importante» con una puntuación CVSS de 7.8. Dado que afecta a una aplicación de uso masivo y solo requiere privilegios de bajo nivel para su explotación, operando sin interacción del usuario una vez activada, representa un riesgo considerable tanto para empresas como para usuarios individuales.
La vulnerabilidad se centra en un problema de recorrido de ruta que involucra secuencias ‘…/…//’ dentro de Microsoft Office Outlook, lo que permite a atacantes autorizados ejecutar código localmente en los sistemas afectados.
Según el análisis técnico de Microsoft, el exploit lleva una cadena vectorial CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H, lo que indica un vector de ataque local con requisitos de baja complejidad.
A pesar de la clasificación local, Microsoft enfatiza que esto constituye una vulnerabilidad de ejecución remota de código (RCE) porque el término «remoto» se refiere a la ubicación del atacante en lugar del método de ejecución.
El impacto de la vulnerabilidad abarca los tres principios básicos de seguridad: confidencialidad, integridad y disponibilidad, cada uno calificado como «alto» en la evaluación CVSS.
Este perfil de impacto integral sugiere que una explotación exitosa podría llevar a un compromiso completo del sistema, permitiendo a los atacantes acceder a datos confidenciales, modificar las configuraciones del sistema y potencialmente hacer que los sistemas no estén disponibles.
La métrica Privilegios requeridos (PR:L) indica que cualquier usuario autenticado puede desencadenar esta vulnerabilidad sin requerir privilegios administrativos o elevados, lo que amplía significativamente la superficie de ataque potencial.
Los investigadores de seguridad de Morphisec, incluidos Shmuel Uzan, Michael Gorelik y Arnold Osipov, descubrieron e informaron esta vulnerabilidad mediante prácticas de divulgación coordinadas.
El mecanismo de explotación implica la manipulación de rutas de archivos mediante secuencias transversales de directorios, una técnica comúnmente asociada con los ataques de ejecución de código arbitrario (ACE).
Si bien el vector de ataque se clasifica como local (AV:L), las implicaciones prácticas permiten escenarios de ejecución remota de código donde los atacantes pueden aprovechar la vulnerabilidad para ejecutar código malicioso en los sistemas de destino.
Es importante destacar que Microsoft ha confirmado que el Panel de vista previa no es un vector de ataque para esta vulnerabilidad, lo que puede limitar ciertos escenarios de explotación que normalmente dependen de la representación pasiva de contenido.
La calificación de Interacción del usuario (UI:N) indica que una vez que se cumplen las condiciones iniciales, no se requiere ninguna intervención adicional del usuario para una explotación exitosa.
La inteligencia de amenazas actual sugiere que la vulnerabilidad no se había divulgado públicamente antes del anuncio de Microsoft, y no se ha observado ninguna explotación activa en la naturaleza, y la Evaluación de Explotabilidad calificó la probabilidad de explotación como «Improbable».
Detalles de la vulnerabilidad:
- Productos afectados: Microsoft Outlook.
- Impacto: Ejecución remota de código (RCE).
- Requisitos: Privilegios bajos (PR:L), acceso local (AV:L), no se requiere interacción del usuario (UI:N).
- Puntuación CVSS 3.1: 7.8 (High).
Microsoft reconoció la gravedad de CVE-2025-47176, pero indicó que las actualizaciones de seguridad para Microsoft 365 no están disponibles de inmediato.
La compañía se ha comprometido a lanzar parches «lo antes posible» y notificará a los clientes mediante revisiones de la información de CVE cuando las actualizaciones estén disponibles.
Este retraso en la disponibilidad de parches aumenta la urgencia de que las organizaciones implementen medidas de seguridad compensatorias y supervisen de cerca sus implementaciones de Outlook.
Las organizaciones deben priorizar el monitoreo de comportamientos sospechosos de Outlook, implementar controles de acceso adicionales cuando sea posible y prepararse para la implementación rápida de actualizaciones de seguridad una vez que estén disponibles.
Dados los requisitos de privilegios bajos y el potencial de alto impacto, esta vulnerabilidad representa un problema de seguridad importante que requiere atención inmediata por parte de los equipos de seguridad de TI en todos los sectores que utilizan Microsoft Outlook en su infraestructura de comunicación.
