El nuevo fallo de seguridad que se ha descubierto en uno de los productos de Microsoft, pero la compañía todavía no lo ha solucionado. Recientemente han encontrado una vulnerabilidad que afecta a Office 2019 y Office 365 que se ejecutan sobre Windows 10.
La vulnerabilidad en concreto es la CVE-2021-40444 la cual tiene que ver con un fallo de seguridad en el motor de renderizado del navegador MSHTML, este es utilizado por los productos que mencionamos anteriormente y podría ser utilizado para ejecutar códigos maliciosos de forma remota.
Usuarios de Office 2019 y Office 365 en peligro por un fallo de seguridad
Por cierto, Microsoft ya esta al tanto del fallo de seguridad y ha publicado un aviso de seguridad en donde detalla las fallas y los escenarios de posible explotación por parte de usuarios malintencionados.
Microsoft está investigando informes de una vulnerabilidad de ejecución remota de código en MSHTML que afecta a Microsoft Windows. Microsoft tiene conocimiento de los ataques dirigidos que intentan aprovechar esta vulnerabilidad mediante documentos de Microsoft Office especialmente diseñados.
Un atacante podría crear un control ActiveX malicioso para su uso desde un documento de Microsoft Office que aloja el motor de procesamiento del navegador. El atacante tendría que convencer al usuario de que abra el documento malicioso. Los usuarios cuyas cuentas están configuradas para tener menos derechos de usuario en el sistema pueden verse menos afectados que los usuarios que operan con derechos de usuario administrativos.
Microsoft Defender Antivirus y Microsoft Defender for Endpoint brindan detección y protección para la vulnerabilidad conocida. Los clientes deben mantener actualizados los productos antimalware. Los clientes que utilizan actualizaciones automáticas no necesitan realizar ninguna otra acción. Los clientes corporativos que administran actualizaciones deben seleccionar la compilación de detección 1.349.22.0 o posterior e implementarla en sus entornos. Las alertas de Microsoft Defender para Endpoint se mostrarán como: «Ejecución sospechosa de archivo Cpl».
Una vez finalizada esta investigación, Microsoft tomará las medidas adecuadas para proteger a nuestros clientes. Esto puede incluir proporcionar una actualización de seguridad a través de nuestro proceso de publicación mensual o proporcionar una actualización de seguridad fuera de ciclo, según las necesidades del cliente.
Por otra parte, también la compañía ha señalado que, de forma predeterminada, Office abre documentos de Internet en Vista protegida o Application Guard for Office, los cuales evitan que ocurra el ataque.
Actualmente, Microsoft no dispone de un parche que solucione este fallo de seguridad no obstante, los Redmond se encuentran investigando el problema y por supuesto, buscando una solución.
Por el momento, existe un procedimiento que permite mitigar el problema de forma parcial pero no total y es la siguiente:
La desactivación de la instalación de todos los controles ActiveX en Internet Explorer mitiga este ataque. Esto se puede hacer para todos los sitios actualizando el registro. Los controles ActiveX instalados anteriormente seguirán ejecutándose, pero no expondrán esta vulnerabilidad.
Advertencia: el uso incorrecto del Editor del registro puede causar problemas graves que pueden requerir que reinstale su sistema operativo. Microsoft no puede garantizar que los problemas resultantes del uso incorrecto del Editor del Registro puedan resolverse. Utilice el editor de registro bajo su propia responsabilidad.
Para deshabilitar los controles ActiveX en un solo sistema:
- Para deshabilitar la instalación de controles ActiveX en Internet Explorer en todas las zonas, pegue lo siguiente en un archivo de texto y guárdelo con la extensión de archivo .reg:
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\ Microsoft\Windows\CurrentVersion\ Internet Settings\Zones\0]
«1001»=dword:00000003
«1004»=dword:00000003
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\ Microsoft\Windows\CurrentVersion\ Internet Settings\Zones\1]
«1001»=dword:00000003
«1004»=dword:00000003
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\ Microsoft\Windows\CurrentVersion\ Internet Settings\Zones\2]
«1001»=dword:00000003
«1004»=dword:00000003
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\ Microsoft\Windows\CurrentVersion\ Internet Settings\Zones\3]
«1001»=dword:00000003
«1004»=dword:00000003
- Haga doble clic en el archivo .reg para aplicarlo al subárbol de políticas.
- Reinicie el sistema para asegurarse de que se aplique la nueva configuración.
Impacto de la solución alternativa.
Esto establece URLACTION_DOWNLOAD_SIGNED_ACTIVEX (0x1001) y URLACTION_DOWNLOAD_UNSIGNED_ACTIVEX (0x1004) en DISABLED (3) para todas las zonas de Internet para procesos de 64 y 32 bits. No se instalarán los nuevos controles ActiveX.
Los controles ActiveX instalados anteriormente seguirán ejecutándose.
¿Cómo cancelar la solución?
Elimine las claves de registro que se agregaron en la implementación de esta solución.
¿Estas utilizando alguna de estas versiones de office? Déjanos saber tu opinión al respecto.
Comentarios!
Comentarios