Una vulnerabilidad sin parchear en el motor MSHTML está permitiendo ataques a los usuarios de Microsoft Office.

El pasado martes, Microsoft informo sobre una vulnerabilidad de día cero, designada CVE-2021-40444, cuya explotación permite la ejecución remota de código malicioso en las computadoras de las víctimas. Peor aún, los ciberdelincuentes ya están utilizando la vulnerabilidad para atacar a los usuarios de Microsoft Office. Por lo tanto, Microsoft aconseja a los administradores de red de Windows que empleen una solución temporal hasta que la empresa pueda implementar un parche.

CVE-2021-40444 detalles

La vulnerabilidad está en MSHTML, el motor de Internet Explorer. Aunque pocas personas usan IE en estos días (incluso Microsoft recomienda encarecidamente cambiar a su navegador más nuevo, Edge), el viejo navegador sigue siendo un componente de los sistemas operativos modernos y algunos otros programas usan su motor para manejar contenido web. En particular, las aplicaciones de Microsoft Office como Word y PowerPoint dependen de él.

Cómo los atacantes están explotando CVE-2021-40444

Los ataques aparecen como controles ActiveX maliciosos incrustados en documentos de Microsoft Office. Los controles permiten la ejecución de código arbitrario; lo más probable es que los documentos lleguen como archivos adjuntos de mensajes de correo electrónico. Al igual que con cualquier documento adjunto, los atacantes deben persuadir a las víctimas para que abran el archivo.

En teoría, Microsoft Office maneja los documentos recibidos a través de Internet en Vista protegida o mediante Application Guard for Office, cualquiera de los cuales puede prevenir un ataque CVE-2021-40444. Sin embargo, los usuarios pueden hacer clic en el botón Habilitar edición sin detenerse a pensar, desarmando así los mecanismos de seguridad de Microsoft.

Cómo proteger a su empresa del CVE-2021-40444

Microsoft ha prometido investigar y, si es necesario, lanzar un parche oficial. Dicho esto, no esperamos un parche antes del 14 de septiembre, el próximo martes de parches. En circunstancias normales, la compañía no anunciaría una vulnerabilidad antes del lanzamiento de una solución, pero debido a que los ciberdelincuentes ya están explotando CVE-2021-40444, Microsoft recomienda emplear una solución temporal de inmediato.

La solución consiste en prohibir la instalación de nuevos controles ActiveX, lo que puede hacer agregando algunas claves al registro del sistema. Microsoft proporciona información detallada sobre la vulnerabilidad , incluida una sección Soluciones alternativas (en la que también puede aprender cómo deshabilitar la solución alternativa una vez que ya no la necesite). Según Microsoft, la solución alternativa no debería afectar el rendimiento de los controles ActiveX ya instalados.

Por nuestra parte recomendamos:

• Instalar una solución de seguridad a nivel de puerta de enlace de correo corporativo o mejorar los mecanismos de seguridad estándar de Microsoft Office 365 para proteger el correo corporativo de ataques

• Equipar todas las computadoras de los empleados con soluciones de seguridad capaces de detectar la explotación de vulnerabilidades

• Sensibilizar a los empleados sobre las amenazas cibernéticas modernas de forma regular y, en particular, recordarles que nunca deben abrir documentos de fuentes no confiables, y mucho menos activar el modo de edición a menos que sea absolutamente necesario