Microsoft alerta de una vulnerabilidad en Windows mediante documentos maliciosos de Office
El Centro de inteligencia de amenazas de Microsoft está rastreando la nueva actividad del actor de amenazas NOBELIUM. Nuestra investigación sobre los métodos y tácticas que se utilizan continúa, pero hemos visto ataques de fuerza bruta y rociado de contraseñas y queremos compartir algunos detalles para ayudar a nuestros clientes y comunidades a protegerse.
Microsoft informó sobre una “vulnerabilidad de ejecución remota de código MSHTML” que estaría siendo aprovechada por atacantes cibernéticos a través del uso de documentos y archivos maliciosos de Office. El problema de seguridad ha sido identificado como CVE-2021-40444 y afecta en concreto a Windows Server (de 2008 a 2019) y al sistema operativo Windows, desde su versión 7 hasta la 10.
En concreto, la falla está en el motor de renderizado de Internet Explorer conocido como Trident (llamado también MSHTML), que también utiliza documentos de Microsoft Office. Según explica el gigante informático, las potenciales víctimas reciben un archivo en formato Office especialmente diseñado —por ejemplo .docx— y son engañadas para que lo abran.
Esa acción provoca la ejecución automática del navegador y la carga de una página web maliciosa que contiene un control ActiveX que descarga ‘malware’ al computador. De este modo, basta con solo hacer clic al documento malintencionado para infectar el sistema.
Microsoft aún no tiene un parche de seguridad para esta vulnerabilidad, pero ha ofrecido varios métodos para mitigarla y prevenirla. Además de absteniéndose de abrir cualquier archivo de Office que no provenga de una fuente confiable, el usuario puede contrarrestar el ataque si Microsoft Office se ejecuta con la configuración predeterminada, que hace que cualquier documento de la web se abra en modo ‘vista protegida’ o Application Guard en Office 365. El primero es un modo de solo lectura que tiene la mayoría de funciones de edición deshabilitadas y el segundo aísla documentos sospechosos y les niega el acceso a ciertos recursos.
Por otro lado, la compañía asegura que Microsoft Defender Antivirus y Microsoft Defender “proporcionan detección y protección” para este problema y recomienda mantener actualizados estos y cualquier otro producto ‘antimalware’ que esté instalado en el equipo. Como solución alternativa, también aconseja deshabilitar la instalación de los controles ActiveX de Internet Explorer para todos los sitios web. En su nota de seguridad explica a los usuarios cómo realizar este procedimiento.
¿Cómo frustrar el ataque?
Esta vulnerabilidad día cero no cuenta de momento con un parche de seguridad, y ha afectado a los usuarios de los sistemas para servidores Windows Server desde la versión 2008 hasta la actualidad, así como a Windows 10, 8.1, y 7, como ha admitido Microsoft a través de un comunicado de seguridad.
Asimismo, Microsoft ha reconocido que la vía de ataque ya ha sido utilizada por cibercriminales, que han realizado ataques dirigidos a través del uso de documentos maliciosos de Office con un control ActiveX.
El atacante solo tendría que lograr que el usuario abriese el documento malicioso. Debido a ello, esta medida podría tener un impacto mayor en las cuentas con privilegios de administración.
Microsoft ha asegurado que sus antivirus de serie, Microsoft Defender y Microsoft Defender for Endpoint, detectan y protegen contra la vulnerabilidad, y espera solucionar el problema en uno de los próximos parches de seguridad mensuales.
La compañía también ha proporcionado una alternativa a los administradores para que eviten el ataque, algo que es posible si se desactivan los controles de ActiveX en Internet Explorer, aunque este proceso debe realizarse manualmente en el registro de Windows.
