Actualizado el 15/9/2021: Microsoft lanzó en la actualización de septiembre un parche que repara esta vulnerabilidad.
Este martes Microsoft compartió soluciones temporales para mitigar una vulnerabilidad de ejecución remota de código (RCE) en MSHTML, el motor del navegador de Internet Explorar que también es utilizado por aplicaciones de Office. Clasificada como CVE-2021-40444, esta vulnerabilidad catalogada como importante y con una severidad de 8.8 sobre 10, afecta a Windows Server desde 2008 hasta 2019, así como al sistema operativo Windows desde la versión 8 a la 10.
Según informó la propia compañía, “Microsoft está al tanto de la existencia de ataques dirigidos intentando explotar esta vulnerabilidad utilizando documentos de Microsoft Office especialmente diseñados”. Por ejemplo, un atacante podría crear un control Active X malicioso para ser utilizado por un documento de Microsoft Office y convencer a una potencial víctima para que abra el documento, agregó.
Lectura recomendada: Métodos para detectar si un documento de Office posee código malicioso
Por su parte, la Agencia de Ciberseguridad e Infraestructura de los Estados Unidos (CISA) se sumó en esta advertencia y recomienda tanto a usuarios como a organizaciones revisar los métodos de mitigación que compartió Microsoft.
.@CISAgov encourages users and organizations to review Microsoft's mitigations and workarounds to address CVE-2021-40444, a remote code execution vulnerability in Microsoft Windows: https://t.co/PY3WTgvzRa https://t.co/zUvbfTjRTd
— US-CERT (@USCERT_gov) September 7, 2021
Desde la cuenta de Twitter de EXPMON, un servicio dedicado al monitoreo de exploits que fue reconocido por Microsoft por su contribución en el hallazgo de esta vulnerabilidad, afirman que sus sistemas detectaron un ataque sofisticado apuntando a usuarios de Office y recomiendan a los usuarios ser muy cuidadosos a la hora de abrir estos documentos.
💥💥⚡️⚡️
EXPMON system detected a highly sophisticated #ZERO-DAY ATTACK ITW targeting #Microsoft #Office users! At this moment, since there's no patch, we strongly recommend that Office users be extremely cautious about Office files - DO NOT OPEN if not fully trust the source!— EXPMON (@EXPMON_) September 7, 2021
Además, desde EXPMON afirman que lograron reproducir el ataque en la última versión de Office 2019/Office 365 en equipos con Windows 10 y que el exploit abusa de un fallo lógico, por lo que es realmente peligroso. Según explicó Microsoft, para los usuarios que operan con permisos de administrador el impacto puede representar consecuencias importantes.
La principal recomendación de Microsoft antes de que se lanzara el parche es deshabilitar la instalación de todos los controles ActiveX en Internet Explorer. Cómo hacer esto lo explica la compañía en la misma advertencia que publicó.