Malware en documentos de Microsoft Office vulnerabilidad 0-Day

Hoy en día es tan común compartir, descargar y tener un montón de documentos de Microsoft Office de manera natural en nuestro ordenador, sin pensar en nada mas que visualizar su contenido, pero… ¿Te has puesto a pensar si ese documento que descargas en la red esta limpio de malware?.

signo

El martes 7 de septiembre se descubrió una vulnerabilidad en MSHTML, un motor de navegador patentado para Internet Explorer ahora descontinuado y que se usa en Office para representar contenido web en su interior. Documentos de Word, Excel y PowerPoint.

Microsoft ha informado de una vulnerabilidad de día cero, designada CVE-2021-40444, cuya explotación permite la ejecución remota de código malicioso en las computadoras de las víctimas. Peor aún, los ciberdelincuentes ya están utilizando la vulnerabilidad para atacar a los usuarios de Microsoft Office. Por lo tanto, Microsoft aconseja a los administradores de red de Windows que empleen una solución temporal hasta que la empresa pueda implementar un parche.

CVE-2021-40444 detalles

La vulnerabilidad está en MSHTML, el motor de Internet Explorer. Aunque pocas personas usan IE en estos días (incluso Microsoft recomienda encarecidamente cambiar a su navegador más nuevo, Edge), el viejo navegador sigue siendo un componente de los sistemas operativos modernos y algunos otros programas usan su motor para manejar contenido web. En particular, las aplicaciones de Microsoft Office como Word y PowerPoint dependen de él.

Cómo los atacantes están explotando CVE-2021-40444

Los ataques aparecen como controles ActiveX maliciosos incrustados en documentos de Microsoft Office. Los controles permiten la ejecución de código arbitrario; lo más probable es que los documentos lleguen como archivos adjuntos de mensajes de correo electrónico. Al igual que con cualquier documento adjunto, los atacantes deben persuadir a las víctimas para que abran el archivo.

En teoría, Microsoft Office maneja los documentos recibidos a través de Internet en Vista protegida o mediante Application Guard for Office, cualquiera de los cuales puede prevenir un ataque CVE-2021-40444. Sin embargo, los usuarios pueden hacer clic en el botón Habilitar edición sin detenerse a pensar, desarmando así los mecanismos de seguridad de Microsoft.

Notificación del modo de vista protegida en Microsoft Word

Cómo proteger a su empresa del CVE-2021-40444


Kasperski recomienda lo siguiente:

Microsoft ha prometido investigar y, si es necesario, lanzar un parche oficial. Dicho esto, no esperamos un parche antes del 14 de septiembre, el próximo martes de parches. En circunstancias normales, la compañía no anunciaría una vulnerabilidad antes del lanzamiento de una solución, pero debido a que los ciberdelincuentes ya están explotando CVE-2021-40444, Microsoft recomienda emplear una solución temporal de inmediato.

La solución consiste en prohibir la instalación de nuevos controles ActiveX, lo que puede hacer agregando algunas claves al registro del sistema. Microsoft proporciona información detallada sobre la vulnerabilidad , incluida una sección Soluciones alternativas (en la que también puede aprender cómo deshabilitar la solución alternativa una vez que ya no la necesite). Según Microsoft, la solución alternativa no debería afectar el rendimiento de los controles ActiveX ya instalados.

Por nuestra parte recomendamos:

Instalar una solución de seguridad a nivel de puerta de enlace de correo corporativo o mejorar los mecanismos de seguridad estándar de Microsoft Office 365 para proteger el correo corporativo de ataques;
Equipar todas las computadoras de los empleados con soluciones de seguridad capaces de detectar la explotación de vulnerabilidades;
Sensibilizar a los empleados sobre las amenazas cibernéticas modernas de forma regular y, en particular, recordarles que nunca deben abrir documentos de fuentes no confiables, y mucho menos activar el modo de edición a menos que sea absolutamente necesario.

Aquí les comparto un video sobre la vulnerabilidad y la aplicación de solución temporal.

Es un hecho que… Ningún sistema es seguro.