Nuevo ataque zero day dirigido a usuarios de Windows con documentos de Microsoft Office

Microsoft advirtió este martes (07/09) sobre una falla de día cero explotada activamente, que afecta a Internet Explorer y que se utiliza para secuestrar sistemas Windows vulnerables al aprovechar documentos de Office armados.

Rastreado como CVE-2021-40444 (puntaje CVSS: 8.8), la falla de ejecución remota de código tiene sus raíces en MSHTML (también conocido como Trident), un motor de navegador patentado para Internet Explorer ahora descontinuado y que se usa en Office para representar contenido web en su interior. Documentos de Word, Excel y PowerPoint.

«Microsoft está investigando informes de una vulnerabilidad de ejecución remota de código en MSHTML que afecta a Microsoft Windows. Además, está al tanto de los ataques dirigidos que intentan explotar esta vulnerabilidad mediante el uso de documentos de Microsoft Office especialmente diseñados», dijo la compañía.

«Un atacante podría crear un control ActiveX malicioso para ser utilizado por un documento de Microsoft Office que aloja el motor de procesamiento del navegador… El atacante tendría que convencer al usuario de que abra el documento malicioso. Los usuarios cuyas cuentas estén configuradas para tener menos derechos de usuario en el sistema podría verse menos afectado que los usuarios que operan con derechos de usuario administrativo», agregó.

El fabricante de Windows le dio crédito a los investigadores de EXPMON y Mandiant por informar sobre la falla, aunque la compañía no reveló detalles adicionales sobre la naturaleza de los ataques, la identidad de los adversarios que explotan este día cero o sus objetivos a la luz de los ataques del mundo real.

EXPMON, en un tweet, señaló que encontró la vulnerabilidad después de detectar un «ataque de día cero altamente sofisticado» dirigido a los usuarios de Microsoft Office, y agregó que transmitió sus hallazgos a Microsoft el domingo. «El exploit utiliza fallas lógicas, por lo que la explotación es perfectamente confiable (y peligrosa)», dijeron los investigadores de EXPMON.

Sin embargo, vale la pena señalar que el ataque actual se puede suprimir si Microsoft Office se ejecuta con configuraciones predeterminadas, donde los documentos descargados de la web se abren en Vista protegida o Application Guard for Office, que está diseñado para evitar que los archivos que no son de confianza accedan a recursos confiables. en el sistema comprometido.