Microsoft advierte sobre ataques dirigidos a documentos de Office

Afectando a los servidores y escritorios de Windows, los ataques aprovechan una vulnerabilidad de MSHTML mediante el uso de documentos de Microsoft Office especialmente diseñados.

Imagen: iStock / Simonkolton

Microsoft ha dado la voz de alarma por un nuevo ciberataque que se dirige activamente a los usuarios de Windows al explotar una falla de seguridad a través de documentos maliciosos de Office. En una actualización de seguridad publicada el martes, el gigante del software describió su investigación sobre una vulnerabilidad de ejecución remota de código en MSHTML que funciona a través de documentos de Microsoft Office especialmente diseñados.

VER: Política de respuesta a incidentes (TechRepublic Premium)

“MSHTML es un componente utilizado por innumerables aplicaciones en Windows”, dijo Jake Williams, cofundador y director de tecnología de la empresa de respuesta a incidentes BreachQuest. “Si alguna vez ha abierto una aplicación que aparentemente ‘mágicamente’ conoce su configuración de proxy, es probable que sea porque usa MSHTML bajo el capó”.

Al explotar esta falla, un atacante podría diseñar un control ActiveX malicioso utilizado por un documento de Office que aloja el motor de renderizado del navegador. El atacante tendría que convencer al usuario de que abra el documento malicioso, probablemente enviado por correo electrónico. Los usuarios con cuentas más limitadas en sus computadoras podrían ser menos vulnerables que aquellos con privilegios administrativos completos.

El exploit afecta a todas las versiones actuales de Windows, incluidas Windows 7, 8.1 y 10, así como a Windows Server 2008, 2012, 2016, 2019 y 2022.

Aún no hay ningún parche disponible para este exploit. Microsoft dijo que después de completar su investigación actual, puede proporcionar una actualización de seguridad a través de su ciclo de lanzamiento mensual o implementar una actualización fuera de ciclo. Mientras tanto, Microsoft Defender Antivirus y Microsoft Defender for Endpoint detectan y protegen contra esta vulnerabilidad. Los usuarios de cualquiera de los productos deben asegurarse de que estén actualizados.

Además, Microsoft Office abre de forma predeterminada documentos de Internet en Vista protegida o Application Guard for Office, los cuales evitan el ataque actual. Los usuarios de Office deben asegurarse de que la Vista protegida esté habilitada. Para hacer esto, haga clic en el menú Archivo en cualquier aplicación de Office y seleccione Opciones. En la ventana Opciones, vaya al Centro de confianza, haga clic en el botón Configuración del Centro de confianza y luego seleccione Vista protegida.

En lugar de un parche, Microsoft tiene una solución. Como se describe en el aviso de seguridad, use un editor de texto para crear un archivo .REG con las siguientes cadenas:

Editor del registro de Windows, versión 5.00

[HKEY_LOCAL_MACHINESOFTWAREPoliciesMicrosoftWindowsCurrentVersionInternet SettingsZones ]

“1001” = dword: 00000003

“1004” = dword: 00000003

[HKEY_LOCAL_MACHINESOFTWAREPoliciesMicrosoftWindowsCurrentVersionInternet SettingsZones1]

“1001” = dword: 00000003

“1004” = dword: 00000003

[HKEY_LOCAL_MACHINESOFTWAREPoliciesMicrosoftWindowsCurrentVersionInternet SettingsZones2]

“1001” = dword: 00000003

“1004” = dword: 00000003

[HKEY_LOCAL_MACHINESOFTWAREPoliciesMicrosoftWindowsCurrentVersionInternet SettingsZones3]

“1001” = dword: 00000003

“1004” = dword: 00000003

Guarde el archivo con la extensión .reg. Haga doble clic en él para agregarlo al Registro existente.

“La buena noticia es que esta vulnerabilidad es del lado del cliente y requiere la interacción del usuario”, dijo Casey Ellis, fundador y director de tecnología de la plataforma de ciberseguridad Bugcrowd. “Un parche estará disponible pronto. Desafortunadamente, ese es el final de las buenas noticias”.

Ellis advirtió que la complejidad del exploit parece bastante baja, lo que significa que los atacantes pueden aprovecharla más fácilmente. El impacto es muy alto. Y en su forma armada, el exploit podría usarse en diferentes tipos de ataques, incluido el ransomware. Además, incluso cuando hay un parche disponible, es posible que muchas organizaciones no lo apliquen con la suficiente rapidez.

“El desafío constante con las vulnerabilidades del lado del cliente como esta es que hay muchos sistemas que necesitan ser parcheados, lo que significa que permanecen disponibles para ser explotados por los atacantes durante bastante tiempo”, agregó Ellis.

Ver también

Leave a Comment