Clicky

Nuevo ataque de día cero dirigido a usuarios de Windows con documentos de Microsoft Office

Ataque día cero en Office

Los usuarios deben deshabilitar en Internet Explorer todos los controles ActiveX para mitigar cualquier posible ataque

Microsoft advirtió el martes sobre una falla de día cero explotada activamente que afecta a Internet Explorer y que se utiliza para secuestrar sistemas Windows vulnerables al aprovechar documentos de Office especialmente diseñados.

Rastreado como CVE-2021-40444 (puntaje CVSS: 8.8), la falla de ejecución remota de código tiene sus raíces en MSHTML (también conocido como Trident), un motor de navegador patentado para Internet Explorer ahora descontinuado y que se utiliza en Office para representar contenido web dentro de documentos de Word, Excel y PowerPoint.

"Microsoft está investigando informes de una vulnerabilidad de ejecución remota de código en MSHTML que afecta a Microsoft Windows. Microsoft está al tanto de ataques dirigidos que intentan explotar esta vulnerabilidad mediante el uso de documentos de Microsoft Office especialmente diseñados", dijo la compañía.

"Un atacante podría crear un control ActiveX malicioso para ser utilizado por un documento de Microsoft Office que aloja el motor de renderizado del navegador. El atacante tendría que convencer al usuario de que abra el documento malicioso. Los usuarios cuyas cuentas están configuradas para tener en el sistema menos derechos de usuario podrían verse menos afectados que los usuarios que operan con derechos administrativos de usuario", agregó.

El fabricante de Windows le dio crédito a los investigadores de EXPMON y Mandiant por informar sobre la falla, aunque la compañía no reveló detalles adicionales sobre la naturaleza de los ataques, la identidad de los adversarios que explotan este día cero o sus objetivos a la luz de los ataques del mundo real. .

EXPMON, en un tweet, señaló que encontró la vulnerabilidad después de detectar un "ataque de día cero altamente sofisticado" dirigido a los usuarios de Microsoft Office, y agregó que transmitió el domingo sus hallazgos a Microsoft. "El exploit utiliza fallas lógicas, por lo que la explotación es perfectamente confiable (y peligrosa)", dijeron los investigadores de EXPMON.

Sin embargo, vale la pena señalar que el ataque actual se puede suprimir si Microsoft Office se ejecuta con configuraciones predeterminadas, donde los documentos descargados de la web se abren en Vista protegida o Application Guard for Office, que están diseñados para evitar que los archivos que no son de confianza accedan a recursos confiables en el sistema comprometido.

Se espera que Microsoft, una vez completada la investigación, publique una actualización de seguridad como parte de su ciclo de lanzamiento mensual de parches del martes o emita un parche fuera de banda "según las necesidades del cliente". Mientras tanto, el fabricante de Windows insta a los usuarios y organizaciones a deshabilitar en Internet Explorer todos los controles ActiveX para mitigar cualquier posible ataque.

Jesus_Caceres