Microsoft acaba de lanzar un parche de seguridad que corrige una vulnerabilidad muy seria de Windows 10. Esta permite a actores malintencionados comprometer la seguridad del ordenador a través de un documento de Office malicioso especialmente diseñado para ese fin.

La vulnerabilidad, identificada como CVE-2021-40444, fue detectada a principios de septiembre. En ese momento, Microsoft advirtió que se estaba explotando activamente. Además, señaló que se encontraba trabajando para dar solución al problema.

Ahora, tras varios días de análisis y pruebas, los de Redmond han encontrado la solución. La misma se encuentra disponible dentro del paquete de actualizacion mensual correspondiente a septiembre. Este se ofrece automáticamente a todos los clientes de Windows 10 a través de Windows Update.

Sin embargo, el problema también afecta a otras versiones de Windows, algunas ya sin soporte oficial. En el caso de Windows 8.1, Windows Server 2012 y Windows Server 2016 y Windows Server 2019, sí recibirán la actualización a través de Windows Update.

Windows 7 y Windows Server 2008, en cambio, solo podrán acceder a las actualizaciones si han pagado el mantenimiento de seguridad adicional de Microsoft. Esto se debe a que el soporte extendido para estos sistemas operativos ya ha finalizado.

Como la vulnerabilidad tiene un nivel de gravedad de 8,8 en una escala máxima de 10 puntos, Microsoft recomienda actualizar inmediatamente. Los usuarios avanzados que no puedan actualizar, podrán prevenir los ataques con una solución alternativa que requiere modificar el registro de Windows.

¿Cómo operan los atacantes que pusieron en alerta a Microsoft?

Ejemplo del señuelo utilizado por DEV-0413 | Crédito: Microsoft

Microsoft detectó ataques dirigidos que se aprovechaban de una vulnerabilidad de Windows 10. Se trata, precisamente, de una falla de seguridad de ejecución remota de código (RCE). Esta se encontraba en el motor de renderizado de Internet Explorer y era utilizada por archivos de Office maliciosos.

Las campañas, explica Microsoft, se originaron a partir de correos electrónicos que se hicieron pasar por contratos y acuerdos legales. Estos documentos, alojados en sitios de intercambio de archivos, contenían un código específicamente diseñado para atacar a los usuarios a través de un control ActiveX.

Los de Redmond señalaron que el ataque se frustraba si las potenciales victimas abrían el archivo en modo Vista protegida o mediante Application Guard en Office 365. La primera es una función de solo lectura. La segunda aísla el documento en un entorno seguro y niega el acceso a los recursos y archivos del sistema.