Cuando hablamos de seguridad en la red siempre pensamos en la configuración de nuestro equipo, de nuestra red Wi-Fi y, cómo no, del sistema operativo que usamos. Son muchos aspectos a tener en cuenta que nos hacen desviar nuestra atención de otros no menos importantes como son los programas que a diario usamos.
Y es que por medio de una brecha de seguridad en un programa determinado puede entrar una sorpresa para nada agradable para nuestro equipo. Y eso es lo que parece estar sufriendo Microsoft Word, pues se ha descubierto una debilidad que pone en riesgo a los usuarios que hagan uso del editor de texto de la suite ofimática de Microsoft.
En concreto el fallo tiene relación con un código malicioso en forma de correo electrónico adjunto. Se trata de documentos de Word que haciendo uso de texto enriquecido lleven insertado un enlace de acceso a una web en cuestión. Un problema que se desata cuando el confiado usuario hace click en ese enlace llevándole a una web que seguramente nada tiene que ver con lo que se esperaba.
Así al pinchar en el enlace HTML este nos remite a un servidor remoto que nos inserta _malware_ en el equipo sin que lo sepamos y por lo tanto nos deja indefensos hasta que ya es demasiado tarde.
Por ahora sólo cabe tener precaución
Casi todas las versiones de Office están afectadas, incluso en Office 2016 para Windows 10 y lo llamativo del caso es que frente a los avisos que suele dar Office ante enlaces de este tipo, en este caso no hace nada permaneciendo inalterado.
El fallo fue descubierto por el equipo de FireEyeen enero, siendo comunicado a Microsoft el pasado fin de semana de forma que no se ha hecho público hasta que desde Redmond no han notificado que tienen una solución para poner freno a la incidencia.
Será mañana día 11 de abril con la llegada de Creators Update cuando desde Microsoft lanzarán el correspondiente parche que pondrá freno a este fallo de seguridad y mientras tanto sólo nos queda tener precaución con los documentos de Word que vayamos a usar y que contengan un enlace HTML.
Vía | Fireeye
En Xataka | Microsoft busca aumentar la seguridad en sus equipos con el lanzamiento de Microsoft Authenticator
Ver 1 comentario
1 comentario
kadmon
No es cierto, si fuese así no sería tan grave. El correo viene con un documento de word adjunto, el usuario abre el documento de word y este documento tiene vinculado un objeto OLE alojado en un servidor remoto. El programa word descarga de forma automática el objeto OLE vinculado que viene a ser un archivo hta camuflado como un documento RTF.
Los archivos de word, excel, etc, pueden contener vinculados elementos externos que cargan cuando abres el documento
Un archivo hta es un archivo parecido a un archivo html pero propiedad de Microsoft, para páginas web. Los archivos hta pueden contener código ejecutable, así que cuando el programa word descarga ese archivo hta que tenía incrustado el documento, el hta empieza a ejecutar su código y a descargar el malware en segundo plano.
Entonces, el usuario no tiene que clicar en ningún enlace, tan solo tiene que abrir el documento de word y después todo va automático.
En inglés, porque esta explicación se da en la noticia que enlazáis:
The attack involves a threat actor emailing a Microsoft Word document to a targeted user with an embedded OLE2link object. When the user opens the document, winword.exe issues a HTTP request to a remote server to retrieve a malicious .hta file, which appears as a fake RTF file. The Microsoft HTA application loads and executes the malicious script. In both observed documents the malicious script terminated the winword.exe process, downloaded additional payload(s), and loaded a decoy document for the user to see. The original winword.exe process is terminated in order to hide a user prompt generated by the OLE2link.
The vulnerability is bypassing most mitigations; however, as noted above, FireEye email and network products detect the malicious documents. Microsoft Office users are recommended to apply the patch as soon as it is available.