Microsoft anunció una actualización crítica de seguridad que entrará en vigor en julio de 2025, dirigida a fortalecer las defensas de Outlook Web y el nuevo Outlook para Windows. Esta medida incluye el bloqueo de archivos .library-ms y .search-ms, formatos que los ciberdelincuentes han comenzado a explotar intensivamente en campañas de phishing dirigidas contra organizaciones gubernamentales y empresas privadas.
El Riesgo Emergente de los Archivos .library-ms
Los archivos con extensión .library-ms representan una nueva frontera en el panorama de amenazas cibernéticas. Estos componentes del sistema Windows, originalmente diseñados para crear bibliotecas que unifican carpetas locales y remotas en el explorador de archivos, han sido weaponizados por atacantes sofisticados desde principios de 2025.
La preocupación principal radica en la explotación de la vulnerabilidad CVE-2025-24054, que permite la exposición de hashes NTLM. Esta técnica de ataque posibilita el compromiso de credenciales corporativas, creando un vector de entrada para movimientos laterales dentro de las redes empresariales.
Evolución de las Amenazas: El Protocolo search-ms bajo Ataque
El abuso del protocolo search-ms tiene antecedentes documentados desde junio de 2022, cuando el investigador de seguridad Matthew Hickey de Hacker House identificó su potencial malicioso. Este protocolo permite la activación automática de ventanas de Windows Search en dispositivos objetivo, facilitando la ejecución de ataques de ingeniería social.
Los atacantes han combinado exitosamente el protocolo search-ms con la vulnerabilidad CVE-2022-30190 para crear escenarios de phishing convincentes que evaden las defensas tradicionales. Esta táctica demuestra la evolución constante de las metodologías de ataque y la necesidad de medidas preventivas proactivas.
Impacto Organizacional y Medidas de Mitigación
La implementación de estas restricciones afectará mínimamente a los usuarios finales, según Microsoft, debido al uso limitado de estos formatos de archivo en operaciones comerciales estándar. La actualización se aplicará automáticamente a todas las políticas de buzones OWA organizacionales.
Las organizaciones que requieran funcionalidad con estos tipos de archivo pueden configurar excepciones mediante la inclusión de los formatos necesarios en AllowedFileTypes dentro de OwaMailboxPolicy antes del despliegue de la actualización. Esta flexibilidad permite mantener operaciones críticas mientras se mejora la postura de seguridad general.
Estrategia Integral de Hardening de Microsoft
Esta medida forma parte de una iniciativa más amplia de Microsoft para eliminar funcionalidades susceptibles de abuso. Desde 2018, la compañía ha implementado mejoras progresivas incluyendo:
La expansión del soporte para Antimalware Scan Interface (AMSI) para neutralizar ataques basados en macros VBA, seguido por el bloqueo predeterminado de macros VBA, la desactivación de macros Excel 4.0 (XLM) y la implementación de protecciones contra complementos XLL no confiables.
Esta evolución defensiva refleja un enfoque adaptativo ante el panorama cambiante de amenazas cibernéticas. La decisión de bloquear archivos .library-ms y .search-ms representa una respuesta estratégica a las tácticas emergentes de los atacantes, fortaleciendo significativamente las defensas del correo electrónico corporativo y protegiendo a los usuarios contra esquemas de phishing cada vez más sofisticados.
