Microsoft ha revelado una vulnerabilidad de día cero sin parchear en Office que, de ser explotada con éxito, podría resultar en la divulgación no autorizada de información confidencial a actores maliciosos.
La vulnerabilidad, identificada como CVE-2024-38200 (puntuación CVSS: 7,5), se ha descrito como un fallo de suplantación de identidad que afecta a las siguientes versiones de Office:
- Microsoft Office 2016 para ediciones de 32 bits y 64 bits
- Microsoft Office LTSC 2021 para ediciones de 32 y 64 bits
- Aplicaciones de Microsoft 365 para empresas para sistemas de 32 y 64 bits
- Microsoft Office 2019 para ediciones de 32 y 64 bits
A los investigadores Jim Rush y Metin Yunus Kandemir se les atribuye el descubrimiento y reporte de la vulnerabilidad.
«En un escenario de ataque basado en la web, un atacante podría alojar un sitio web (o aprovechar un sitio web comprometido que acepte o aloje contenido proporcionado por el usuario) que contenga un archivo especialmente diseñado para explotar la vulnerabilidad», dijo Microsoft. dicho en un aviso.
«Sin embargo, un atacante no tendría forma de obligar al usuario a visitar el sitio web. En lugar de eso, un atacante tendría que convencer al usuario de hacer clic en un enlace, normalmente mediante un mensaje de correo electrónico o de mensajería instantánea, y luego convencer al usuario de abrir el archivo especialmente diseñado».
Se espera que se envíe un parche formal para CVE-2024-38200 el 13 de agosto como parte de sus actualizaciones mensuales del martes de parches, pero el gigante tecnológico dijo que identificó una solución alternativa que habilitó a través de Feature Flighting a partir del 30 de julio de 2024.
También señaló que si bien los clientes ya están protegidos en todas las versiones con soporte de Microsoft Office y Microsoft 365, es esencial actualizar a la versión final del parche cuando esté disponible en un par de días para una protección óptima.
Microsoft, que ha calificado la falla como «Explotación menos probable», ha delineado además tres estrategias de mitigación:
- Bloquee el TCP 445/SMB saliente de la red mediante un firewall perimetral, un firewall local y mediante configuraciones de VPN para evitar el envío de mensajes de autenticación NTLM a recursos compartidos de archivos remotos.
La revelación se produce cuando Microsoft dijo que está trabajando para abordar dos fallas de día cero (CVE-2024-38202 y CVE-2024-21302) que podrían explotarse para «desreparar» sistemas Windows actualizados y reintroducir vulnerabilidades antiguas.
A principios de esta semana, Elastic Security Labs reveló una variedad de métodos que los atacantes pueden utilizar para ejecutar aplicaciones maliciosas sin activar las advertencias de Windows Smart App Control y SmartScreen, incluida una técnica llamada LNK stomping que ha sido explotada en la naturaleza durante más de seis años.