Microsoft 365 bloqueará el protocolo FPRPC en Windows para reforzar la seguridad frente a ataques

Introducción

A partir de finales de agosto de 2024, Microsoft implementará un cambio significativo en la seguridad de las aplicaciones Microsoft 365 para Windows: el acceso a archivos a través del protocolo FPRPC (FrontPage Remote Procedure Call) será bloqueado por defecto. Esta medida responde a la necesidad de reforzar la protección frente a amenazas modernas aprovechando protocolos inseguros y obsoletos, y tiene un impacto directo en la administración de identidades, la autenticación y la integridad de los datos corporativos.

Contexto del Incidente o Vulnerabilidad

FPRPC es un protocolo heredado desarrollado originalmente para la edición y gestión remota de sitios web en servidores Microsoft FrontPage y SharePoint. Aunque su uso ha disminuido drásticamente con la evolución de los servicios cloud, aún persiste en algunos entornos empresariales antiguos donde las migraciones completas no se han realizado o se mantienen por cuestiones de compatibilidad. Sin embargo, FPRPC no soporta autenticación moderna ni cifrado robusto, lo que lo convierte en un vector atractivo para atacantes que buscan interceptar credenciales o manipular archivos en tránsito.

Detalles Técnicos

El protocolo FPRPC, identificado en múltiples ocasiones como un riesgo de seguridad, no implementa MFA (autenticación multifactor) ni es compatible con los estándares de OAuth y Modern Authentication utilizados actualmente en Microsoft 365. Su uso expone las comunicaciones a ataques como man-in-the-middle (MITM) y permite el robo de credenciales mediante técnicas de phishing o replay attacks.

No existe un CVE específico reciente asociado a FPRPC, ya que la inseguridad reside en el diseño fundamental del protocolo y no en una vulnerabilidad puntual. Sin embargo, el framework MITRE ATT&CK lo enmarca en las técnicas T1557 (Adversary-in-the-middle) y T1078 (Valid Accounts), ya que puede ser aprovechado para el secuestro de sesiones y la obtención de credenciales válidas.

En pruebas de laboratorio, pentesters han utilizado herramientas como Responder y Metasploit para interceptar tráfico FPRPC y obtener hashes NTLM, demostrando la viabilidad de ataques en escenarios reales. Asimismo, los logs de actividad anómala suelen identificar intentos de explotación mediante patrones de acceso a endpoints legacy, fácilmente rastreables a través de SIEM avanzados.

Impacto y Riesgos

El mantenimiento del soporte a FPRPC en Microsoft 365 representa un riesgo sustancial para la seguridad corporativa. Según estimaciones internas de Microsoft, menos del 1% de las operaciones de acceso a archivos en entornos empresariales actuales utilizan este protocolo, aunque en ese reducido porcentaje se concentran infraestructuras críticas de sectores como administración pública, salud y educación.

El uso continuado de FPRPC puede derivar en:

– Exposición de credenciales en texto claro.
– Pérdida de confidencialidad y manipulación no autorizada de archivos.
– Incumplimiento de normativas como GDPR y NIS2, que exigen el uso de mecanismos de autenticación y cifrado robustos.
– Incremento del riesgo de movimientos laterales en redes comprometidas, facilitando la escalada de privilegios y la persistencia de atacantes avanzados.

Medidas de Mitigación y Recomendaciones

Microsoft recomienda a las organizaciones:

1. Realizar un inventario de aplicaciones y automatizaciones que dependan de FPRPC para planificar su migración a APIs modernas como Microsoft Graph o REST.
2. Activar la autenticación moderna (Modern Auth) y deshabilitar todos los protocolos legacy (incluidos Basic Auth, EWS, POP/IMAP legacy).
3. Implementar controles de acceso condicional y MFA en toda la organización.
4. Monitorizar los logs de acceso para identificar intentos de uso de FPRPC y responder de inmediato ante eventos sospechosos.
5. Revisar y actualizar la documentación interna y los procedimientos de integración con Microsoft 365.

Para los administradores que requieran una extensión temporal, Microsoft ofrecerá la posibilidad de habilitar FPRPC de manera manual a través de políticas específicas, aunque advierte que esta opción será retirada en el futuro.

Opinión de Expertos

Analistas de seguridad y consultores coinciden en que la retirada de soporte a FPRPC es un paso necesario para reducir la superficie de ataque de los entornos Microsoft 365. «El uso de protocolos legacy es, a día de hoy, una de las principales puertas de entrada de ataques dirigidos y ransomware en grandes organizaciones», señala un CISO de una entidad financiera europea. Pentesters también alertan de que la facilidad de explotación de FPRPC ha hecho que figure en los playbooks de grupos APT y cibercriminales, que lo utilizan para moverse lateralmente tras comprometer una cuenta inicial.

Implicaciones para Empresas y Usuarios

El cambio impactará principalmente a organizaciones que mantienen aplicaciones o scripts antiguos integrados con SharePoint o Exchange. Estas empresas deberán acelerar la migración a soluciones compatibles con autenticación moderna para evitar interrupciones en los flujos de trabajo y garantizar el cumplimiento normativo.

Para los usuarios finales, la experiencia será transparente salvo en casos donde dependan de herramientas obsoletas, que dejarán de funcionar sin previo aviso a partir de la fecha de desactivación.

Conclusiones

La desactivación por defecto del acceso vía FPRPC en Microsoft 365 para Windows es una medida alineada con las mejores prácticas de ciberseguridad y responde a la necesidad de eliminar vectores de ataque innecesarios. Las organizaciones deben priorizar la migración a protocolos y APIs modernas, reforzar sus controles de acceso y adaptar sus políticas para evitar impactos operativos y sanciones regulatorias.

(Fuente: www.bleepingcomputer.com)