AlertaCiberNews

Noticias de ciber seguridad

AlertaCiberNews

Noticias de ciber seguridad

Empresas

Microsoft investiga un fallo crítico en Copilot al utilizar varias aplicaciones Office simultáneamente

admin

Introducción

Microsoft se encuentra actualmente analizando un problema técnico que afecta a su asistente de inteligencia artificial, Copilot, cuando se ejecutan varias aplicaciones de la suite Office en un mismo sistema. Este fallo, reportado por usuarios empresariales y documentado en foros técnicos, podría tener un impacto significativo en la productividad de organizaciones que dependen de la integración fluida entre Copilot y los entornos Office, especialmente en escenarios de trabajo colaborativo y automatización de tareas.

Contexto del Incidente

El incidente se detectó a finales de mayo de 2024, coincidiendo con la reciente actualización de Copilot para Microsoft 365. Usuarios de entornos corporativos han informado sobre comportamientos erráticos de Copilot al trabajar con múltiples aplicaciones de Office, tales como Word, Excel y PowerPoint abiertas de manera simultánea. Los síntomas incluyen bloqueos intermitentes, respuestas incoherentes del asistente y, en algunos casos, pérdida temporal de funcionalidades avanzadas.

La problemática ha sido identificada principalmente en sistemas Windows 10 y Windows 11 con las versiones más recientes de Microsoft Office (Office 365, build 2405 y posteriores). Aunque Microsoft no ha confirmado aún el alcance exacto, los primeros informes sugieren que el fallo es reproducible en configuraciones típicas de escritorios empresariales, especialmente en entornos de virtualización como Citrix o VMware Horizon.

Detalles Técnicos

Actualmente, el fallo no ha sido asignado a un CVE, ya que no se trata de una vulnerabilidad de seguridad per se, sino de un bug funcional. Sin embargo, la presencia del fallo podría abrir vectores de ataque indirectos si los usuarios, al frustrarse con el mal funcionamiento, recurren a soluciones no oficiales o deshabilitan controles de seguridad para restablecer Copilot.

Desde el punto de vista técnico, el error parece estar vinculado a la gestión de tokens de autenticación y al uso compartido de recursos entre procesos Office y el complemento Copilot, que opera bajo el contexto del usuario autenticado. Las colisiones en la gestión de sesiones generan condiciones de carrera (“race conditions”) que provocan que el asistente pierda contexto, interrumpa flujos de trabajo automatizados o devuelva resultados incorrectos al usuario.

Los TTPs (Tácticas, Técnicas y Procedimientos) relacionados no corresponden a un actor malicioso, pero desde la perspectiva del MITRE ATT&CK, podrían facilitar técnicas como «Valid Accounts» (T1078) o «User Execution» (T1204) si un atacante aprovecha el descontento de los usuarios para inducirles a instalar macros maliciosas o complementos no verificados.

Actualmente, se han detectado algunos indicadores de compromiso (IoC) relacionados con archivos de registro corruptos y excepciones en el Event Viewer de Windows, en particular entradas asociadas al proceso “OfficeC2RClient.exe” y “CopilotForOffice.exe”.

Impacto y Riesgos

El principal riesgo es la pérdida de productividad y la posible exposición de datos sensibles por errores en la gestión de información entre aplicaciones. Organizaciones que dependen de flujos de trabajo automatizados con Copilot, como generación de informes o análisis de datos, pueden experimentar interrupciones críticas.

Además, la desactivación temporal de Copilot podría llevar a los usuarios a emplear soluciones ad hoc, incrementando la superficie de ataque y el riesgo de incumplimiento normativo, especialmente bajo marcos regulatorios como el GDPR y la directiva NIS2, que exigen control y trazabilidad en el acceso y procesamiento de datos.

Si bien no se han reportado incidentes de explotación activa, expertos advierten que la desestabilización de funciones críticas puede ser utilizada como vector de ingeniería social para campañas de phishing dirigidas.

Medidas de Mitigación y Recomendaciones

Microsoft recomienda a los administradores de sistemas monitorizar los registros de eventos relacionados con Office y Copilot, así como evitar la ejecución simultánea de múltiples aplicaciones Office en sistemas donde la integración con Copilot sea crítica. No se sugiere, por el momento, revertir a builds anteriores, salvo en entornos donde el fallo cause una interrupción severa del negocio.

Se recomienda también desplegar políticas de AppLocker y restringir la instalación de complementos de terceros hasta que Microsoft publique un parche oficial. Los equipos SOC deben estar atentos a anomalías en el uso de recursos y registrar cualquier comportamiento inesperado vinculado a los procesos mencionados.

Opinión de Expertos

Varios analistas de ciberseguridad señalan que este tipo de fallos, aunque no representan una amenaza directa de seguridad, pueden derivar en riesgos colaterales si no se gestionan adecuadamente. “La fragmentación de sesiones y los bloqueos intermitentes pueden ser caldo de cultivo para ataques de ingeniería social. Las organizaciones deben reforzar sus procesos de gestión de cambios y formación de usuarios”, afirma David López, CISO de una multinacional del sector financiero.

Por su parte, pentesters y consultores de seguridad recomiendan realizar pruebas de estrés en entornos controlados antes de desplegar nuevas versiones de Copilot en producción, especialmente en infraestructuras con alta densidad de usuarios concurrentes.

Implicaciones para Empresas y Usuarios

Las empresas deben evaluar el impacto en sus operaciones y establecer planes de contingencia para minimizar la disrupción. El fallo pone de manifiesto la necesidad de contar con entornos de pruebas robustos y una comunicación fluida entre equipos de IT y usuarios finales. Igualmente, los responsables de cumplimiento normativo deben revisar los procedimientos de gestión de incidentes ante posibles incumplimientos derivados de la pérdida temporal de funcionalidades críticas.

Conclusiones

Aunque el fallo identificado en Copilot para Office no supone una brecha de seguridad inmediata, sí representa un riesgo operativo relevante para organizaciones dependientes de la automatización y asistencia inteligente en sus procesos. Se recomienda a los equipos técnicos estar atentos a las actualizaciones de Microsoft y aplicar medidas de mitigación mientras se publica un parche definitivo.

(Fuente: www.bleepingcomputer.com)