No hay productos en el carrito.
Microsoft reveló ayer un error de seguridad Zero-Day en varios productos de Windows y Office, los cuales están siendo explotados activamente para obtener la ejecución remota de código a través de documentos maliciosos de Office.
«Microsoft está investigando informes de una serie de vulnerabilidades de ejecución remota de código que afectan a los productos de Windows y Office. Microsoft está al tanto de los ataques dirigidos que intentan explotar estas vulnerabilidades mediante el uso de documentos de Microsoft Office especialmente diseñados», dijo Redmond.
Los atacantes no autenticados pueden explotar la vulnerabilidad (registrada como CVE-2023-36884 y con un CVSS de 8.1) en ataques de alta complejidad sin requerir la interacción del usuario. La explotación exitosa podría conducir a una pérdida total de confidencialidad, disponibilidad e integridad, lo que permitiría a los atacantes acceder a información confidencial, desactivar la protección del sistema y denegar el acceso al sistema comprometido. Se ha comprobado que el grupo Storm-0978 está aprovechando esta vulnerabilidad en ataques activos.
«Un atacante podría crear un documento de Microsoft Office especialmente diseñado que le permita realizar la ejecución remota de código en el contexto de la víctima. Sin embargo, un atacante tendría que convencer a la víctima para que abra el archivo malicioso».
Si bien la falla aún no se soluciona, Microsoft dice que proporcionará a los clientes parches a través del proceso de lanzamiento mensual o una actualización de seguridad fuera de banda.
Medidas de mitigación disponibles
Hasta que los parches CVE-2023-36884 estén disponibles, Microsoft dice que los clientes que usan Defender para Office y aquellos que han habilitado la regla de reducción de superficie de ataque (ASR) «Bloquear todas las aplicaciones de Office para que no creen procesos secundarios» (Block all Office applications from creating child processes) están protegidos contra ataques de phishing que intentan explotar el error.
Quienes no utilicen estas protecciones pueden agregar los siguientes nombres de aplicación a la clave de registro:
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Internet Explorer\Main\FeatureControl\FEATURE_BLOCK_CROSS_PROTOCOL_FILE_NAVIGATION como valores de tipo REG_DWORD con 1:
excel.exe
Graph.exe
MSAccess.exe
MSPub.exe
PowerPoint.exe
Visio.exe
WinProj.exe
winword.exe
wordpad.exe
Sin embargo, es importante tener en cuenta que configurar esta clave de registro para bloquear los intentos de explotación también puede afectar algunas funciones de Microsoft Office vinculadas a las aplicaciones enumeradas anteriormente.
