Especialistas en ciberseguridad de Check Point reportaron el hallazgo de cuatro vulnerabilidades en Microsoft Office que podrían ser explotadas para la creación de documentos maliciosos en Word y Excel, lo que facilitaría algunas variantes de ataque.
Las tres primeras fallas (CVE-2021-31179, CVE-2021-31174 y CVE-2021-31178) son consideradas de baja severidad y residen en la suite Microsoft Office, permitiendo a los actores de amenazas desplegar ataques de ejecución remota de código y extracción de información confidencial. Estas fallas fueron corregidas en la más reciente actualización de Microsoft.
Por otra parte, CVE-2021-31939 existe debido a una validación de entrada incorrecta en Microsoft Excel. Esto podría ser aprovechado por un actor de amenazas remoto, engañando a un usuario para que abra un archivo o sitio web malicioso desde el cual podrá ejecutar código arbitrario en el sistema objetivo.
La explotación exitosa de esta vulnerabilidad permitiría a los atacantes tomar control total del sistema comprometido, por lo que le fue asignado un puntaje de 7.7/10 según el Common Vulnerability Scoring System (CVSS). Se espera que esta falla sea abordada en el transcurso de esta semana.
Durante el análisis, los expertos utilizaron técnicas de fuzzing para probar el componente COM de MSGraph (MSGraph.Chart.8, GRAPH.EXE), incluido en la suite desde el lanzamiento de Office 2003. MSGraph puede integrarse en las diversas plataformas de la suite Office, incluyendo Word, Outlook y PowerPoint.
“Este componente es muy similar a Microsoft Equation Editor 3.0, aunque MSGraph todavía recibe actualizaciones en cada parche de Office y recibe las últimas mitigaciones, lo que dificulta la explotación exitosa. Esta superficie de ataque también puede adaptarse a otros productos de Microsoft Office como Excel y Office Online, pues comparten el mismo código”, señala el reporte de Check Point.
Este es un hallazgo importante ya que permite a la compañía adoptar un enfoque más amplio en el lanzamiento de actualizaciones: “El principal resultado de esta investigación es la confirmación de que un conjunto de archivos puede integrarse de forma conjunta para la explotación de fallas en diferentes productos de Office, lo que puede resultar de gran utilidad para Microsoft”, concluye el reporte de seguridad.
Para conocer más sobre riesgos de seguridad informática, malware, vulnerabilidades y tecnologías de la información, no dude en ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS).
Trabajando como arquitecto de ciberseguridad, el se enfoca en protección de datos y la seguridad de datos empresariales. Antes de unirse a nosotros, ocupó varios puestos de investigador de ciberseguridad con diferentes empresas. También tiene experiencia en diferentes industrias como finanzas, salud medica y reconocimiento facial.