Hablar de una suite ofimática es hacerlo casi por obligación de Office. Pero claro, con un despliegue tan importante en millones de equipos, los agujeros de seguridad no tardan en aparecer. Y eso es lo que ocurre con las aplicaciones Office en Windows 10, víctimas de cuatro vulnerabilidades importantes.
Investigadores han descubierto que Word, Outlook, Excel y PowerPoint para Windows 10, están afectados por cuatro brechas de seguridad importantes que pueden provocar que un ciberatacante pueda infectar con un sólo archivo cualquier equipo desprotegido. Cuatro vulnerabilidades que han sido corregidas con el Patch Tuesday de mayo y el Patch Tuesday de junio
La importancia de actualizar
El fallo tiene su origen en un componente usado para mostrar gráficos en las distintas aplicaciones. Con el nombre de MSGraph, este componente está presente en Word, Excel, Outlook o PowerPoint. Una parte del código heredada de tiempos de Windows 95 que no ha sido convenientemente actualizada. Se trata por lo tanto de código heredado.
La consecuencia de esta brecha de seguridad es la presencia de cuatro vulnerabilidades que han venido en llamar CVE-2021-31174, CVE-2021-31178, CVE-2021-31179 y CVE-2021 -31939. Por medio de cualquiera de ellas, un atacante podría ejecutar código de forma remoto en nuestro PC con sólo enviar un archivo contaminado.
Según cuentan los investigadores, las vulnerabilidades han sido descubiertas por medio de una técnica llamada fuzzing de forma que se añaden datos de forma aleatoria a un componente para ver por dónde puede fallar y MSGraph fue el que salió afectado.
Y ya que está presente en casi todas las aplicaciones de Office, insertar código malicioso en un archivo y distribuirlo para infectar equipos es algo no excesivamente complicado.
Tras la detección del error, los descubridores siguieron el protocolo habitual informando a Microsoft del hallazgo en tiempo y forma (el 28 de febrero), de forma que la empresa ha publicado los correspondientes parches del sistema. Para las tres primeras amenazas, que llegaron con el Patch Tuesday de mayo (el día 11) mientras que el otro que restaba fue actualizado este martes pasado por medio del Patch Tuesday de junio.
Vía | Research Checkpoint