La vulnerabilidad de día cero se descubrió en microsoft Office puede permitir que los piratas informáticos obtengan el control de su computadora, incluso si no abre un archivo infectado. Los documentos infectados utilizan la función de plantilla de Word para recuperar un archivo HTML de un servidor web remoto. Este archivo HTML luego carga y ejecuta el código de PowerShell. PowerShell es un programa de gestión de configuración y automatización de tareas para Windows que se puede utilizar para realizar tareas administrativas.
El problema aquí es que Microsoft Word ejecuta código malicioso a través de msdt, que es una herramienta de soporte. Si el documento malicioso se cambia a formato de texto enriquecido, se reproducirá sin abrir el documento a través de la pestaña Vista previa en el Explorador de archivos de Windows.
Esta vulnerabilidad llamó la atención del investigador de seguridad Kevin Beaumont cuando Defender for Endpoint, una solución de seguridad empresarial de Microsoft, no la detectó.
En una publicación de blog, Beaumont documenta cómo probó esta vulnerabilidad en diferentes computadoras y, según él, «funciona más comúnmente». Resulta que funciona en Windows 10 incluso con las macros deshabilitadas y Microsoft Defender funcionando. La vulnerabilidad parece poder explotarse con documentos .RTF en todas las versiones de Microsoft Office.
El 30 de mayo, el Centro de Respuesta de Seguridad de Microsoft reconoció la vulnerabilidad y, aunque la compañía aún no ha lanzado un parche, ha enumerado algunas soluciones que pueden proteger las computadoras de los usuarios mientras tanto.
La primera solución que recomendó fue deshabilitar el protocolo URL de MSDT. Esto evita que los solucionadores de problemas se ejecuten como enlaces que incluyen enlaces en todo el sistema operativo. Incluso después de deshabilitar esto, aún se puede acceder a las herramientas de solución de problemas mediante la aplicación Obtener ayuda y a través de la configuración del sistema. Aquí se explica cómo deshabilitar el protocolo:
- Ejecute el símbolo del sistema desde la cuenta de administrador
- Haga una copia de seguridad de su clave de registro ejecutando el comando registro exportar HKEY_CLASSES_ROOT\ms-msdt nombre de archivo
- hacer el comando registro eliminar HKEY_CLASSES_ROOT\ms-msdt /f
Tenga en cuenta que este método requiere un cierto nivel de conocimiento técnico para poder restaurar el registro desde el archivo de copia de seguridad guardado posteriormente.
Afortunadamente, Microsoft también mencionó una solución más simple: activar la protección proporcionada a través de la nube y enviar un formulario automático en Microsoft Defender Antivirus. Idealmente, esto significaría que Defender usaría inteligencia artificial y aprendizaje automático para identificar y detener amenazas nuevas y desconocidas.
