Microsoft advierte sobre explotación de vulnerabilidad “día cero” sin parchar

En lo que fue considerado como una medida “inusual”, la empresa documentó una serie de vulnerabilidades de ejecución de código remoto de día cero en Office.

En su más reciente versión del Patch Tuesday (martes de parches), Microsoft compartió un total de 132 actualizaciones de seguridad, incluyendo seis vulnerabilidades explotadas activamente y 37 vulnerabilidades de ejecución código remoto (RCE).

De los 37 RCE corregidos, 9 de ellos fueron calificados como críticos. Sin embargo, una de las fallas de RCE permanece sin parchear y se está explota activamente en ataques vistos por varias empresas de ciberseguridad.

El desglose de las vulnerabilidades de esta semana es el siguiente: 33 vulnerabilidades de elevación de privilegios; 13 de omisión de características de seguridad; 37 de ejecución de código remoto; 19 de divulgación de información; 22 de denegación de servicio; y 7 de suplantación de identidad.

Entre los que caen en la categoría de “día cero”, figura un RCE sin parches que fue reconocido como CVE-2023-36884, el que fue explotado por actores de estados nacionales y ciberdelincuentes para obtener la ejecución remota de código a través de documentos de Office maliciosos.

El detalle sobre esta explotación en particular es descrito en un blog específico, en el que se indica que el actor de amenaza rastreado como Storm-0978 (también conocido como RomCom), estaba realizando una campaña de phishing dirigida a entidades gubernamentales y de defensa en Europa y América del Norte involucrando el abuso de esta vulnerabilidad RCE y que se estaba utilizando como señuelo asuntos vinculados a un Congreso Mundial en Ucrania.

RomCom es un grupo de ciberdelincuentes con sede en Rusia, conocido por realizar operaciones oportunistas de ransomware y extorsión. Este actor de amenaza es conocido por implementar el ransomware Underground, que está estrechamente relacionado con el ransomware Industrial Spy, observado por primera vez en mayo de 2022.

Microsoft señaló que, aprovechando esta vulnerabilidad, “un atacante podría crear un documento de Microsoft Office especialmente diseñado que le permita realizar la ejecución remota de código en el contexto de la víctima. Sin embargo, un atacante tendría que convencer a la víctima para que abra el archivo malicioso”.

La entidad indicó que una finalizada las investigaciones que está realizando sobre una serie de vulnerabilidades de ejecución de código remoto, que afectan a sus productos, tomará las medidas adecuadas para ayudar a proteger a sus clientes, lo que podría incluir actualizaciones en el próximo Patch Tuesday o una entrega especial fuera de ese ciclo, ello respondiendo a la necesidad de sus clientes.

El detalle sobre las mitigaciones para esta vulnerabilidad específica, se encuentran en el siguiente enlace. Para mayor información sobre la amenaza, puede acudir directamente al siguiente blog de Microsoft.