El 7 de setiembre Microsoft identificó la vulnerabilidad CVE-2021-40444 del tipo RCE (Remote Code Execution), que afecta al componente MSHTML de Internet Explorer existente en Microsoft Office.
Microsoft ha informado de una vulnerabilidad de día cero nombrada CVE-2021-40444, cuya explotación permite la ejecución remota de código malicioso en los ordenadores de las víctimas. Y, lo que es peor, los ciberdelincuentes ya están utilizando la vulnerabilidad para atacar a los usuarios de Microsoft Office. Por lo tanto, Microsoft recomienda que los administradores de red Windows implementar un parche ya desarrollado por la empresa.

 

Más información de la CVE-2021-40444

La vulnerabilidad está en MSHTML, el motor de Internet Explorer y, aunque ya son pocos los que utilizan IE (incluso Microsoft recomienda encarecidamente cambiarse a su nuevo navegador, Edge), el viejo navegador sigue siendo parte de los sistemas operativos modernos y algunos otros programas utilizan este motor para gestionar el contenido web. En particular, las aplicaciones de Microsoft como Word y PowerPoint dependen de él.

 

Cómo explotan los atacantes la CVE-2021-40444

Los ataques aparecen como controles ActiveX maliciosos incrustados en documentos de Microsoft Office. Estos controles permiten la ejecución de código arbitrario; lo más probable es que los documentos lleguen como archivos adjuntos en mensajes de correo electrónico. Como con cualquier documento adjunto, los atacantes tienen que persuadir a las víctimas para que abran el archivo.

En teoría, Microsoft Office gestiona los documentos recibidos por Internet en Vista protegida o mediante Protección de aplicaciones para Office (Application Guard for Office), que pueden evitar un ataque de la CVE-2021-40444. Sin embargo, los usuarios podrían hacer clic en el botón de Habilitar edición sin pensarlo y desarmar los mecanismos de seguridad de Microsoft.

 

 

Cómo proteger a tu empresa contra la CVE-2021-40444

Para la vulnerabilidad CVE-2021-40444 Microsoft liberó un parche de seguridad junto con los de setiembre. Recomendamos aplicarlos cuanto antes.

De forma predeterminada, los documentos de Office descargados de Internet se abren en vista protegida o a través de la función “Application Guard”, lo cual permite mitigar este tipo de ataques.

Microsoft Defender Antivirus Microsoft Defender for Endpoint a partir de la compilación 1.349.22.0 o más reciente, proporcionan detección y protección para esta vulnerabilidad. Las alertas de Microsoft Defender para Endpoint se mostrarán como «Ejecución sospechosa de archivo Cpl» («Suspicious Cpl File Execution»).

 

Fuente: www.gub.uy
www.kaspersky.es