Microsoft advirtió el martes sobre una falla de día cero explotada activamente que afecta a Internet Explorer y que se utiliza para secuestrar sistemas Windows vulnerables aprovechando documentos de Office armados.

Registrado como CVE-2021-40444 (puntuación CVSS: 8.8), la falla de ejecución remota de código tiene sus raíces en MSHTML (también conocido como Trident), un motor de navegador patentado para Internet Explorer ahora descontinuado y que se usa en Office para representar contenido web en su interior. Documentos de Word, Excel y PowerPoint.

«Microsoft está investigando informes de una vulnerabilidad de ejecución remota de código en MSHTML que afecta a Microsoft Windows. Microsoft tiene constancia de ataques dirigidos que intentan aprovechar esta vulnerabilidad mediante el uso especialmente diseñados documentos de Microsoft Office», la compañía dijo.

«Un atacante podría crear un control ActiveX malicioso para ser utilizado por un documento de Microsoft Office que aloja el motor de procesamiento del navegador. El atacante tendría que convencer al usuario de que abra el documento malicioso. Los usuarios cuyas cuentas estén configuradas para tener menos derechos de usuario en el sistema podría verse menos afectado que los usuarios que operan con derechos de usuario administrativo «, agregó.

El fabricante de Windows le dio crédito a los investigadores de EXPMON y Mandiant por informar la falla, aunque la compañía no reveló detalles adicionales sobre la naturaleza de los ataques, la identidad de los adversarios que explotan este día cero o sus objetivos a la luz de los ataques del mundo real. .

EXPMON, en un tweet , señaló que encontró la vulnerabilidad después de detectar un «ataque de día cero altamente sofisticado» dirigido a los usuarios de Microsoft Office, y agregó que transmitió sus hallazgos a Microsoft el domingo. «El exploit utiliza fallas lógicas, por lo que la explotación es perfectamente confiable (y peligrosa)», dijeron los investigadores de EXPMON.

Sin embargo, vale la pena señalar que el ataque actual se puede suprimir si Microsoft Office se ejecuta con configuraciones predeterminadas, donde los documentos descargados de la web se abren en Vista protegida o Application Guard for Office , que está diseñado para evitar que los archivos que no son de confianza accedan a recursos confiables. en el sistema comprometido.

Se espera que Microsoft, una vez completada la investigación, publique una actualización de seguridad como parte de su ciclo de lanzamiento mensual del martes de parches o emita un parche fuera de banda «según las necesidades del cliente». Mientras tanto, el fabricante de Windows insta a los usuarios y organizaciones a deshabilitar todos los controles ActiveX en Internet Explorer para mitigar cualquier posible ataque.

Fuente y redacción: thehackernews.com

Compartir