Microsoft ha publicado correcciones para cuatro vulnerabilidades de spoofing en las aplicaciones de Android Word, PowerPoint, Excel y Microsoft 365 Copilot, que permitían a cualquier aplicación del dispositivo obtener el token de autorización del usuario sin contraseña, pantalla de inicio de sesión ni solicitud de permisos. Según los investigadores de Enclave, la causa raíz fue un flag de depuración que se dejó activado en las compilaciones de producción. Las organizaciones que utilizan Microsoft 365 en Android deben actualizar de inmediato las aplicaciones a través de Google Play y considerar la revocación de los tokens de actualización en los dispositivos potencialmente comprometidos.
Esencia técnica de la vulnerabilidad
Las aplicaciones de Microsoft 365 en Android utilizan un mecanismo de inicio de sesión único (SSO): la autenticación en una aplicación se propaga automáticamente al resto. La transferencia de tokens entre aplicaciones está protegida por una comprobación que solo permite el intercambio con aplicaciones de Microsoft de confianza. Según informan los investigadores de Enclave Yanir Tsarimi y Ofek Levin, en el SDK general de Microsoft había una llamada a setIsDebugMode(true) que desactivaba esta comprobación en las compilaciones de producción. Dado que el código vulnerable se encontraba en un SDK compartido, el mismo error se reproducía en varias aplicaciones.
Los tokens accesibles a través de esta vulnerabilidad son los denominados FOCI tokens (Family of Client IDs refresh tokens), que Microsoft utiliza para el SSO entre sus aplicaciones. Estos tokens de actualización tienen una vida útil prolongada, pueden reutilizarse múltiples veces, y el tráfico que los utiliza aparece en los registros como actividad normal. Para el usuario no hay señales visibles de compromiso.
Los investigadores de Enclave crearon un prototipo funcional de exploit que, a través de una aplicación de terceros sin verificación, extraía los tokens y los utilizaba para leer el correo electrónico de la víctima.
CVE asignados y valoración de gravedad
El 12 de mayo Microsoft publicó cuatro boletines de seguridad, clasificando las vulnerabilidades como spoofing con violación del control de acceso (CWE-284):
- CVE-2026-41100 — Microsoft 365 Copilot para Android, CVSS 4.4
- CVE-2026-41101 — Microsoft Word para Android, CVSS 7.1
- CVE-2026-41102 — Microsoft PowerPoint para Android, CVSS 7.1
- CVE-2026-42832 — Microsoft Excel para Android, CVSS 7.7
La versión corregida de Word para Android es la 16.0.19822.20190; todas las compilaciones anteriores son vulnerables. El resto de aplicaciones se han actualizado mediante las mismas publicaciones en Google Play. Según Enclave, un problema similar también afectaba a Microsoft Loop y OneNote, aunque en la publicación de mayo no se les asignaron CVE específicos. Ninguna de las vulnerabilidades se ha incluido en el catálogo CISA KEV y no se han registrado evidencias públicas de explotación antes de la salida del parche.
Evaluación del impacto
Microsoft clasifica las vulnerabilidades como spoofing local, lo que implica la necesidad de presencia de una aplicación maliciosa en el dispositivo de la víctima. Esto restringe el vector de ataque en comparación con una explotación remota, pero el riesgo sigue siendo considerable para los parques corporativos de dispositivos Android. El escenario de ataque es realista: el usuario instala una aplicación de origen dudoso o incluso desde Google Play (las aplicaciones maliciosas pasan periódicamente la moderación), y esta obtiene en silencio acceso completo al correo corporativo, archivos, calendario y a la capacidad de enviar mensajes en nombre de la víctima.
La naturaleza de los FOCI tokens resulta especialmente peligrosa: sobreviven a la actualización de las aplicaciones y continúan siendo válidos tras la instalación del parche. Esto significa que la mera actualización no invalida los tokens que pudieran haberse interceptado con anterioridad.
Recomendaciones prácticas
- Actualice las aplicaciones: instale las últimas versiones de Word, PowerPoint, Excel, Microsoft 365 Copilot, Loop y OneNote desde Google Play. En el caso de Word, asegúrese de que la versión no sea anterior a la 16.0.19822.20190.
- Actualización forzosa mediante MDM: los equipos de seguridad que gestionan dispositivos Android corporativos deben distribuir las actualizaciones a través del sistema de gestión de dispositivos móviles y confirmar que en los dispositivos no queden compilaciones vulnerables.
- Revocación de tokens de actualización: para las cuentas en dispositivos donde las versiones vulnerables de las aplicaciones hayan coexistido con aplicaciones no confiables, se recomienda revocar los tokens de actualización (refresh tokens) e iniciar de forma forzada una nueva autorización. Esto puede hacerse a través de Azure AD / Entra ID.
- Auditoría de aplicaciones instaladas: revise los dispositivos en busca de aplicaciones instaladas desde fuentes no oficiales en el periodo previo a la aplicación del parche.
La vulnerabilidad FlagLeft es un ejemplo claro de cómo una sola línea de código de depuración en un SDK compartido puede comprometer en cascada a toda una familia de aplicaciones. La acción prioritaria es actualizar las seis aplicaciones de Microsoft 365 afectadas en Android y revocar los FOCI tokens de los dispositivos que pudieran haber estado expuestos antes de la publicación del parche.
