Atacantes y hackers están aprovechándose de una vulnerabilidad de ejecución remota del código de Microsoft en la que utilizan archivos maliciosos de Office para perjudicar a usuarios de Windows. La información fue confirmada oficialmente por la compañía estadounidense y citada en el sitio Engadget.
Codificada con el año 2021, la vulnerabilidad conocida como CVE-2021-40444 afecta a los servidores Windows desde Server 2008, pasando por el 7 y hasta el 10.
«Microsoft está investigando informes de una vulnerabilidad de ejecución remota de código en MSHTML que afecta a Microsoft Windows. Microsoft tiene conocimiento de los ataques dirigidos que intentan aprovechar esta vulnerabilidad mediante el uso de documentos de Microsoft Office especialmente diseñados«, informó la compañía.
El ataque consiste en el envío de archivos de Office a víctimas potencias, engañándolas para que lo abran. El documento abre automáticamente Internet Explorer para cargar una página web creada por los atacantes, que tiene un controlador de ActiveX que descarga malware en la computadora del afectado.
Un simple documento .docx de Microsoft Word puede activar la vulnerabilidad
Varios expertos e investigadores de seguridad digital informaron al gigante tecnológico sobre estos ataques. Uno de ellos fue Haifei Li de EXPMON, quien en declaraciones a BleepingComputer confirmó que el método que ataca a usuarios de Windows es 100% efectivo en favor de los atacantes.
Li destacó que basta con que las víctimas abran el archivo malicioso para que sus sistemas sean infectados con el malware. El especialista indicó que el ataque con el que descubrieron la vulnerabilidad fue con un archivo .docx. Un simple documento Word.
A la fecha, según el reporte de Engadget, la empresa aún no ha implementado un parche de seguridad para la vulnerabilidad, pero ha publicado métodos de mitigación para prevenir la infección.
«Microsoft Defender Antivirus y Microsoft Defender for Endpoint proporcionan detección y protección para la vulnerabilidad conocida. Los usuarios deben mantener actualizados los productos antimalware y los que utilizan actualizaciones automáticas no necesitan realizar ninguna acción adicional«, explicaron los de Redmond.
Sobre sus clientes empresariales, Microsoft comunicó que deben seleccionar la compilación de detección 1.349.22.0 o la más reciente e implementarla en sus equipos. Insistieron en que las alertas de Microsoft Defender para Endpoint se mostrarán como «Ejecución sospechosa de archivo Cpl».
La compañía tomará las medidas adecuadas para ayudar a proteger a los usuarios luego de finalizar la investigación, por lo que aún no hay fecha de parche. Sobre las posibles soluciones, informaron oficialmente que incluirán «una actualización de seguridad».