Microsoft advirtió el martes contra un error de día cero explotado activamente que afecta a Internet Explorer, que se utiliza para atacar sistemas Windows vulnerables con documentos de Office mejorados.

Rastreado como CVE-2021-40444 (puntuación CVSS: 8.8), el error de ejecución de código remoto tiene sus raíces en MSHTML (también conocido como Trident), un motor de navegador de Internet Explorer que ya no se usa y se usa en Office para representar contenido web dentro de Word. Documentos de Excel y PowerPoint.

«Microsoft está investigando informes de ejecución remota de código en MSHTML que afecta a Microsoft Windows. Microsoft está al tanto de ataques dirigidos que intentan explotar esta vulnerabilidad a través de documentos de Microsoft Office especialmente diseñados», dijo la compañía.

«Un atacante podría crear un control ActiveX malicioso que sería utilizado por un documento de Microsoft Office que aloja el motor de representación del navegador. Un atacante tendría que convencer a los usuarios para que abran el documento malicioso. Los usuarios cuyas cuentas están configuradas para tener menos derechos de usuario sistema podría verse menos afectado que los usuarios que trabajan con derechos de usuario administrador”, agregó.

Windows agradeció a los investigadores de EXPMON y Mandiant por informar el error, aunque la compañía no reveló más detalles sobre la naturaleza de los ataques, la identidad de los oponentes que abusaron del día cero o sus objetivos a la luz de los ataques del mundo real. .

EXPMÓN, VA Pío, señaló que encontró la vulnerabilidad después de detectar un «ataque de día cero altamente sofisticado» dirigido a los usuarios de Microsoft Office, y agregó que pasó sus hallazgos a Microsoft el domingo. «La utilización aprovecha los errores lógicos, por lo que es perfectamente confiable (y peligrosa)», dijeron los investigadores de EXPMON.

Sin embargo, vale la pena señalar que el ataque actual se puede suprimir si Microsoft Office se ejecuta con una configuración predeterminada, donde los documentos descargados de la Web se abren en Vista protegida, o Application Guard para Office, que está diseñado para evitar que los archivos que no son de confianza accedan a archivos confiables. recursos. . en el sistema infectado.

Una vez completada la investigación, se espera que Microsoft publique una actualización de seguridad como parte de su ciclo mensual de lanzamiento de Patch Tuesday o emita una solución fuera de banda «dependiendo de las necesidades del cliente». Mientras tanto, Windows insta a los usuarios y organizaciones a desactivar todos los controles ActiveX en Internet Explorer para mitigar cualquier posible ataque.