Uno de los métodos más utilizados por los piratas informáticos para atacar a los ordenadores de sus víctimas es a través de archivos adjuntos maliciosos enviados por correo electrónico. Este tipo de ataques es especialmente peligroso cuando se apunta a explotar vulnerabilidades de día cero. Precisamente, esto es lo que está ocurriendo con una campaña reciente. Esta se aprovecha de un fallo no corregido por Microsoft para infectar a ordenadores con Windows a través de archivos de Office.

Ha sido la propia Microsoft la que ha lanzado una advertencia de que se está explotando activamente una vulnerabilidad de ejecución de código remoto en sus sistemas operativos. El fallo, conocido como CVE-2021-40444, afecta a todas las versiones de Windows 7, Windows 8 y Windows 10. Y también impacta contra las ediciones de Windows Server 2008 en adelante. De acuerdo al informe de la propia compañía, el ataque tiene un nivel de gravedad de 8.8 en una escala de un máximo de 10.

Lo que están haciendo los atacantes es enviar archivos de Office infectados con el objetivo de que los usuarios los abran. Por lo general, con el objetivo de persuadir a la víctimas, se suelen utilizar documentos que aparentan ser legítimos. Sin embargo, cuando alguien abre el archivo, este lanza automáticamente Internet Explorer y carga una página maliciosa con un control ActiveX que descarga un malware que infecta a Windows.

Microsoft aún no lanza un parche de seguridad

Foto por Windows en Unsplash

Un grupo de investigadores de empresas de ciberseguridad, entre los que se encuentra Haifei Li de EXPMON, informaron a Microsoft sobre la vulnerabilidad de día cero el pasado domingo. La compañía no ha tardado en responder que "están investigando los informes" para lanzar un parche. No obstante, han reconocido el problema y han dicho que, en caso de infección, los usuarios con cuentas limitadas pueden verse menos afectados que los que tienen privilegios de administrador.

Microsoft señala que el ataque no puede llevarse a cabo en caso de que el archivo de Office infectado se abra en el modo Vista protegida o Application Guard en Office 365. La primera es una función de solo lectura. La segunda aísla el documento en un entorno seguro y niega el acceso a los recursos compartidos de la red y archivos del sistema. Sin embargo, es aconsejable jamás abrir documentos que provengan de fuentes no confiables.

La compañía de Redmond recomienda deshabilitar los controles ActiveX en Internet Explorer para prevenir la infección. Pero esto se trata de una tarea que requiere modificar el registro de Windows y reiniciar el ordenador. Además recomienda mantener actualizados Microsoft Defender y Microsoft Defender for Endpoint, soluciones de seguridad propias que, según ellos, son capaces de detener la amenaza.