La bandera de desarrollo se dejó activada en las versiones de producción de algunas aplicaciones de Microsoft 365 para Android, lo que deshabilitó las comprobaciones para restringir el intercambio de tokens de cuentas a aplicaciones confiables de Microsoft.
Otras aplicaciones en el mismo teléfono pueden solicitar y obtener el token del usuario que inició sesión y luego leer el correo electrónico, abrir archivos, ver el calendario, enviar mensajes y más como ese usuario. No hay contraseñas, pantallas de inicio de sesión ni solicitudes de permiso.
Microsoft ha aplicado un parche. Si está ejecutando aplicaciones de Microsoft 365 en Android, actualícelas.
El error, que Enclave llama «FlagLeft», afectó a seis aplicaciones, cada una con miles de millones de descargas: Word, PowerPoint, Excel, Microsoft 365 Copilot, Microsoft Loop y OneNote. Los equipos enviados con la misma bandera configurada como falsa no se vieron afectados, pero Enclave interpretó esto como un vale en lugar de un diseño.
Las aplicaciones de Microsoft 365 comparten intencionalmente el acceso a la cuenta, por lo que si inicia sesión en Word, no tiene que volver a iniciar sesión en PowerPoint. Se supone que Handoff verifica quién realiza la solicitud y rechaza cualquier cosa que no sea una aplicación confiable de Microsoft.
Yanir Tsarimi y Ofek Levin de Enclave descubrieron que se dejó una sola línea en el código de envío, setIsDebugMode(true), en el cheque, lo que provocó que se omitiera el cheque. Debido a que la falla existía en un SDK compartido de Microsoft, el mismo agujero apareció en una aplicación tras otra.
El token pasado es un token FOCI, un token de actualización familiar que Microsoft utiliza para el inicio de sesión único en todas las aplicaciones. Estos pueden actualizarse y reutilizarse con el tiempo, y el tráfico resultante es visible de forma rutinaria en los registros. Por parte del usuario no ocurre nada perceptible.
Enclave ha creado una prueba de concepto funcional que adquiere un token a través de una aplicación de terceros no verificada y lo utiliza para leer correos electrónicos. Microsoft los clasifica como fallas de suplantación de identidad locales. En términos sencillos, basta con que la aplicación maliciosa ya esté en el dispositivo.
Microsoft emitió cuatro CVE el 12 de mayo. Ambos fueron clasificados como Suplantación de identidad con controles de acceso inadecuados (CWE-284). CVE-2026-41100 en Microsoft 365 Copilot (CVSS 4.4), CVE-2026-41101 en Word (CVSS 7.1), CVE-2026-41102 en PowerPoint (CVSS 7.1), CVE-2026-42832 en Excel (CVSS 7.7). Los cuatro CVE cubren Copilot, Word, PowerPoint y Excel.
Enclave informó la misma falla en Loop y OneNote, pero ninguno recibió otro CVE en el lote de mayo. NVD enumera la versión parcheada de Word para Android como 16.0.19822.20190, y las versiones anteriores también se ven afectadas. Otras aplicaciones se solucionaron mediante la misma actualización de Google Play.
El lanzamiento del martes de parches de mayo de Microsoft no enumera nada conocido o explotado públicamente, ni hay ninguna evidencia pública de que esta falla se haya utilizado antes de que se solucionara.
¿Qué hacer? Actualice Word, PowerPoint, Excel, Microsoft 365 Copilot, Loop y OneNote desde Google Play. Los equipos de seguridad que administran flotas de Android deben enviar actualizaciones a través de MDM y asegurarse de que los dispositivos no tengan versiones anteriores a 16.0.19822.20190.
Este parche cierra el agujero, pero no borra retroactivamente ningún token que un atacante ya pueda tener. Los tokens de actualización de FOCI duran más que las actualizaciones de aplicaciones, por lo que para las cuentas en dispositivos que han ejecutado versiones anteriores con aplicaciones que no son de confianza, puede valer la pena revocar el token de actualización y forzar un nuevo inicio de sesión.
Source link
