Apenas unos días después de que Microsoft lanzara su paquete de actualizaciones correspondientes al mes de abril, la compañía emitió un nuevo conjunto de parches de seguridad para corregir diversas vulnerabilidades en la suite de Office que podrían ser explotadas por actores de amenazas para ejecutar código remoto.
La compañía también lanzó una actualización de seguridad para la herramienta Paint 3D, pues la falla se relaciona con un componente compartido por la suite Office y el software de edición: la biblioteca FBX de Autodesk.
Autodesk es reconocida como la compañía desarrolladora de AutoCAD, aunque cuenta con muchos otros productos ampliamente utilizados por arquitectos, ingenieros, creadores de contenido digital, entre otros. En total, fueron corregidas seis vulnerabilidades en su kit de desarrollo de software (FBX SDK).
Estas fallas pueden ser explotadas engañando a un usuario para que abra un archivo FBX especialmente diseñado, lo que conduciría a una condición de denegación de servicio (DDoS) y a la ejecución de código arbitrario. Debido a que la biblioteca Autodesk FBK está integrada en las aplicaciones vulnerables, el procesamiento de contenido 3D especialmente diseñado podría desencadenar la explotación.
En un reporte de seguridad, Microsoft menciona: “Un actor de amenazas que explotara con éxito estas vulnerabilidades podría obtener los mismos derechos de usuario que el usuario local; por otra parte, un usuario con menos privilegios en el sistema podría verse menos afectado”.
Cualquier atacante que deseara explotar estas vulnerabilidades tendría que enviar un archivo especialmente diseñado al usuario objetivo. Además, este archivo debe contener algún diseño 3D, sin olvidar que el hacker aún debe engañar al usuario para que abra el archivo, pues no basta con que el usuario objetivo interactúe con una vista previa del archivo malicioso para iniciar el ataque.
Además de la descarga del archivo, los hackers no requieren que el usuario realice acciones adicionales, por lo que se considera que esta es una vulnerabilidad grave, aunque no crítica. No obstante, es necesario señalar que existen múltiples formas de engañar a un usuario para que descargue un archivo malicioso, por lo que es necesario permanecer a la expectativa de potenciales ataques.
Por el momento no se conocen métodos alternativos para mitigar el riesgo de explotación de esta falla, por lo que se recomienda a los usuarios de implementaciones expuestas esperar al lanzamiento de las actualizaciones de seguridad oficiales.
Trabajando como arquitecto de ciberseguridad, el se enfoca en protección de datos y la seguridad de datos empresariales. Antes de unirse a nosotros, ocupó varios puestos de investigador de ciberseguridad con diferentes empresas. También tiene experiencia en diferentes industrias como finanzas, salud medica y reconocimiento facial.