Adjuntos que nunca imaginaste: Microsoft prohíbe dos formatos usados por hackers
Una nueva restricción podría romper con viejos hábitos. Prepárate.
A partir de julio de 2025, Microsoft comenzará a bloquear automáticamente los archivos adjuntos con las extensiones .library-ms y .search-ms en la versión web de Outlook y en el nuevo Outlook para Windows. Estos cambios afectarán a todas las organizaciones que utilicen Microsoft 365 y se aplicarán mediante la política OwaMailboxPolicy sin necesidad de configuración manual.
La razón de esta actualización es el refuerzo de las medidas de seguridad: ambos tipos de archivos ya han sido utilizados en ataques cibernéticos reales. Por ejemplo, los archivos .library-ms, que representan enlaces a bibliotecas virtuales en Windows, se convirtieron en herramientas de ataque a principios de 2025. En ese entonces, se usaron para robar hashes NTLM mediante una vulnerabilidad de Windows identificada como CVE-2025-24054. Las campañas de phishing tuvieron como objetivo a entidades gubernamentales y empresas privadas.
Los archivos con la extensión .search-ms, que hacen referencia al mecanismo de búsqueda integrado de Windows, también forman parte del arsenal de los hackers desde hace tiempo. Ya en 2022 se supo que podían usarse para abrir una ventana de búsqueda en el equipo de la víctima y manipular los resultados mostrados. Esto permitía ejecutar software malicioso al combinarse con una vulnerabilidad en la herramienta de diagnóstico de soporte de Windows (MSDT), conocida como CVE-2022-30190.
Microsoft destaca que los nuevos bloqueos afectan a formatos poco comunes, por lo que la mayoría de las organizaciones no notarán cambios. Sin embargo, si los usuarios aún intercambian tales archivos adjuntos, ya no podrán abrirlos ni descargarlos en Outlook Web y el nuevo Outlook.
Se recomienda a los administradores configurar previamente excepciones: añadir las extensiones necesarias a la lista de permitidas (AllowedFileTypes) en la política OwaMailboxPolicy. Esto es relevante si la organización tiene una necesidad justificada de utilizar los tipos de archivos bloqueados.
La actualización forma parte de una campaña amplia y sistemática de Microsoft para reducir las vulnerabilidades asociadas con componentes obsoletos y comúnmente explotados de Windows y Office. Estos esfuerzos comenzaron en 2018 con la integración de la interfaz AMSI en Office 365, que permite a los antivirus analizar en tiempo real la ejecución de scripts VBA.
Posteriormente se introdujeron nuevos niveles de protección: por defecto se bloquean las macros VBA en documentos de Office, se desactivaron las macros heredadas de Excel 4.0 (XLM), se añadió protección contra scripts XLM y se implementó el bloqueo automático de complementos XLL no verificados en todos los entornos corporativos de Microsoft 365.
Además, en mayo de 2024 Microsoft anunció el fin del soporte para VBScript, y en abril de 2025 desactivó todos los componentes ActiveX en Office y Microsoft 365 para Windows. Estas decisiones tienen como objetivo eliminar una clase completa de ataques que explotan funciones integradas de Windows y Office, anteriormente utilizadas activamente en campañas maliciosas.
Para las empresas que utilizan servidores Exchange locales, existe la posibilidad de configurar excepciones a estas restricciones: permitir la recepción de archivos adjuntos con las nuevas extensiones bloqueadas mediante políticas locales, o aplicar métodos alternativos de transferencia: archivos comprimidos, cambio de extensión, OneDrive o SharePoint.
En el sitio web oficial de Microsoft ya está disponible la lista actualizada de archivos adjuntos bloqueados en Outlook, donde se puede consultar todos los tipos de archivos afectados por la política de seguridad.