Fecha de publicación: Mar, 14/09/2021 - 10:12

Alerta de seguridad

Nivel de peligrosidad: Alto

Descripción

La vulnerabilidad ha sido descubierta por el investigador de seguridad Haifei Li de EXPMON y reportada a Microsoft el pasado domingo. Tras analizar el reporte y la vulnerabilidad, a la que se ha asignado el identificador CVE-2021-40444, Microsoft ha publicado una alerta de seguridad explicando algunos detalles y proponiendo contramedidas hasta lanzar la actualización de seguridad.

Para explotar la vulnerabilidad, un atacante podría crear un control ActiveX malicioso para incorporarlo en un documento de Microsoft Office que aloja el motor de renderizado del navegador y convencer a la víctima para que abra el documento malicioso.

Recursos afectados

  • Windows 7. 8.1 y 10;
  • Windows Server 2012, 2008, 2016. 20H2, 2004, 2022 y 2019.

Contramedida

Antes de la actualización de seguridad, la contramedida era deshabilitar los controles ActiveX en Internet Explorer, configurando las Políticas de grupo utilizando el Editor de políticas de grupo local o actualizando el registro. De esta forma, los controles ActiveX instalados anteriormente seguirán ejecutándose pero no los nuevos, evitándose la exposición a esta vulnerabilidad.

Solución

Microsoft publicó la actualización de seguridad para esta vulnerabilidad, por tanto se recomienda aplicar el parche lo antes posible.

Microsoft Office abre documentos de Internet en Vista protegida o Application Guard for Office, los cuales evitan la exposición al ataque.

Recomendaciones

Dado que ya existe varias pruebas de concepto para explotar la vulnerabilidad, se recomienda instalar la actualización de seguridad.

Alertar sobre el riesgo a usuarios para extremar las precauciones y no abrir documentos de Microsoft Office procedentes de fuentes en las que no se tenga absoluta confianza.

Referencias

Ataque de día cero dirigido a usuarios de Windows con documentos de Microsoft Office

Microsoft y CISA advierten sobre ataques explotando nueva zero‑day en Windows utilizando documentos de Office