- Se detectó una vulnerabilidad de inclusión de archivos locales (LFI) en la función de exportación a PDF de Microsoft 365.
- El fallo permitía acceder a archivos del sistema servidor mediante etiquetas HTML al convertir HTML a PDF.
- Microsoft parcheó la vulnerabilidad tras la denuncia de un investigador, que recibió una recompensa de 3.000 dólares.
- El caso resalta la importancia del testeo de seguridad en servicios cloud y la rápida respuesta ante vulnerabilidades críticas.
Una reciente vulnerabilidad detectada en la funcionalidad de exportación a PDF de Microsoft 365 puso en jaque la seguridad de datos sensibles en entornos empresariales. Esta amenaza, ya solucionada, evidenció cómo un simple proceso de conversión de archivos podía convertirse en un coladero para la obtención de información crítica alojada en los servidores de Microsoft.
El descubrimiento, realizado por el investigador Gianluca Baldi, reveló la posibilidad de explotar una inclusión de archivos locales (LFI) aprovechando una característica indocumentada de las APIs de Microsoft Graph. La vulnerabilidad permitía a los atacantes incrustar rutas de archivos del sistema dentro de documentos HTML que, al convertirse a PDF mediante Microsoft 365, exponían el contenido de configuraciones, credenciales o incluso fragmentos de código fuente.
Cómo se descubrió el fallo y qué impacto tuvo
El hallazgo surgió durante una auditoría rutinaria de una aplicación cliente, cuya funcionalidad de convertir documentos a PDF reposaba totalmente en los servicios oficiales de Microsoft. Inicialmente se pensó que el problema estaba en el desarrollo propio del cliente, pero pronto se demostró que la amenaza residía en la infraestructura de la nube de Microsoft 365, concretamente en la interacción con SharePoint y la conversión de archivos a través de APIs oficiales.
La gravedad radicaba en que el sistema aceptaba archivos HTML para su conversión a PDF, aunque dicha función no estaba documentada oficialmente. Durante el proceso, etiquetas HTML como <embed>, <object> o <iframe> permitían forzar la lectura de archivos locales del servidor, incluso fuera del directorio raíz. Así, vulnerabilidades de este tipo podrían ofrecer a un atacante acceso a información comprometida como ficheros de configuración (web.config, win.ini), datos de conexión a bases de datos o scripts internos.
Detalles técnicos de la explotación y riesgos asociados
La explotación era tan sencilla como subir mediante la Graph API un archivo HTML con una etiqueta maliciosa apuntando a un archivo sensible; acto seguido, se solicitaba a la plataforma la conversión a PDF y el documento generado devolvía, incrustado, el contenido de ese archivo local. Este vector de ataque abría la puerta a exposiciones mayores en entornos multicliente o multiempresa, si se lograban identificar rutas de archivos temporales compartidos.
El problema se agravaba por la falta de restricciones adecuadas en la validación de las rutas de archivo y la entrada de datos durante la conversión. El fallo permitía salirse del directorio autorizado y obtener archivos fuera del alcance previsto, lo que podía tener consecuencias notables en compañías que basan su trabajo en la nube de Microsoft.
La demostración de la vulnerabilidad incluyó ejemplos reales de extracción de archivos críticos, reiterando la viabilidad del problema. Microsoft, tras ser informado a través de su programa de recompensas, reconoció la severidad del fallo y lo clasificó como «importante», recompensando con 3.000 dólares al investigador responsable del hallazgo.
Respuesta de Microsoft y recomendaciones para las organizaciones
Microsoft respondió al incidente parcheando la vulnerabilidad y mejorando los mecanismos de validación en el proceso de conversión a PDF. Entre las soluciones implementadas, destaca la restricción de ciertas etiquetas HTML durante la conversión y una validación más estricta de las rutas de archivo para evitar ataques de traversal de directorios.
Se recomienda a todas las organizaciones que utilizan la exportación a PDF de Microsoft 365 que mantengan sus sistemas actualizados y apliquen las últimas medidas de seguridad. Este caso subraya la importancia de realizar pruebas continuas en funcionalidades no documentadas y de ser cautelosos con riesgos potenciales asociados a procesos aparentemente inofensivos en la conversión de documentos en la nube.
La detección y parcheo de esta vulnerabilidad ha evitado que una brecha de seguridad de grandes dimensiones se materialice. Además, resulta fundamental realizar revisiones periódicas en las integraciones y conversiones automatizadas, vigilando especialmente los permisos y la gestión de datos entre servicios externos y la infraestructura interna.