Home Sociedad Expertos identifican cuatro nuevas vulnerabilidades de seguridad en Microsoft Office

Expertos identifican cuatro nuevas vulnerabilidades de seguridad en Microsoft Office

Check Point Research ha identificado cuatro nuevas vulnerabilidades de seguridad en la suite Microsoft Office.

El código malicioso afecta a varios productos de la suite, incluidos Excel y Office online. Las vulnerabilidades pueden permitir a un atacante ejecutar código en objetivos a través de documentos de Office maliciosos, como Word (.docx), Excel (.xml) y Outlook (.eml). Las vulnerabilidades son el resultado de los errores de análisis del código heredado que se encuentra en los formatos de archivo de Excel 95. Los investigadores creen que los fallos de seguridad pueden existir desde hace varios años.

Check Point Research descubrió las vulnerabilidades mediante fuzzing, un tipo de prueba automatizada, de Microsoft Graph, un componente que puede incrustarse en los productos de Microsoft Office para mostrar gráficos y diagramas.

El fuzzing es una técnica que intenta encontrar fallos de software pirateables introduciendo aleatoriamente datos no válidos e inesperados en un programa informático, lo que permite al usuario, en este caso, Check Point Research, encontrar errores de codificación y lagunas de seguridad. A continuación, se utilizaron otras comprobaciones de código para confirmar que la función vulnerable se utilizaba habitualmente en varios productos de Microsoft Office, como Excel, Office Online Server y Excel para OSX.

Como las vulnerabilidades pueden estar incrustadas en la mayoría de los documentos de Office, hay múltiples vectores de ataque que pueden ser utilizados. Un escenario sencillo sería que la víctima descargara un archivo de Excel malicioso y, una vez que lo abriera, se activara la vulnerabilidad. El hecho de que toda la suite de Office tenga la capacidad de incrustar objetos de Excel hace que haya un gran vector de ataque.

La compañía afirma haber comunicado responsablemente a Microsoft el resultado de su investigación. Desde entonces, Microsoft ha parcheado las vulnerabilidades de seguridad.

“Las vulnerabilidades encontradas afectan a casi todo el ecosistema de Microsoft Office”, aseguró el jefe de investigación cibernética de Check Point Software, Yaniv Balmas.

El investigador insta a la gente a actualizar su software. “Aunque en nuestra investigación sólo encontramos cuatro vulnerabilidades en la superficie de ataque, nunca se puede saber cuántas vulnerabilidades más como éstas están todavía por ahí esperando a ser encontradas. Insto encarecidamente a los usuarios de Windows a que actualicen su software inmediatamente, ya que existen numerosos vectores de ataque posibles por parte de un atacante que active las vulnerabilidades que hemos encontrado.”

Con información de: Europa Press.