Una nueva vulnerabilidad de "día cero" descubierta en Microsoft Office, y más concretamente en Microsoft Word, por el grupo de ciberseguridad 'Nao-sec', está permitiendo a los hackers acceder de forma remota a los PCs de los usuarios con el fin de sustraer datos personales. El fallo de seguridad, bautizado como 'Follina' por el investigador Kevin Beaumont, parece afectar a diferentes versiones del paquete de Microsoft Office. Esto incluye la versión de 2013 hasta la de 2021 e, incluso a Office Pro Plus y Office 365.

La vulnerabilidad, en concreto, permite ejecutar comandos de PowerShell a través de MSDT, una herramienta de soporte de Microsoft. Todo ello, gracias a un simple documento de Word. Beaumont destaca en una publicación que "el documento utiliza la función de plantilla remota" del programa de edición de texto de Microsoft con el fin de "recuperar un HTML de un servidor web remoto", y que al mismo tiempo, hace uso de un "esquema URI ms-msdt MSProtocol" para cargar el código y ejecutarlo en la mencionada interfaz de consola. Todo ello, sin que Windows Defender lo detecte y se ejecuta incluso, con las macros deshabilitadas.

Si bien Microsoft la ha catalogado como una vulnerabilidad de "día cero" hace apenas unas horas, el fallo lleva presente en la suit de Office desde hace semanas, según revela Beaumont. Los hackers parecen utilizar documentos Word con contenido que pretenden llamar la atención de las víctimas. Entre ellos, relatos de una persona que sufre acoso sexual o solicitudes de entrevistas para un medio ruso. El acceso remoto, además, se obtiene nada más abrir el documento y, en algunos casos, incluso mostrando una vista previa en el explorador de archivos.

Cómo evitar que controlen nuestro PC a través de la nueva vulnerabilidad de Word

Follina Microsoft Word

Microsoft, que al principio no consideró esta vulnerabilidad como tal, parece estar trabajando en una solución, por lo que es probable que en los próximos días el paquete de Office e, incluso, Windows, reciban una nueva actualización de seguridad para solventar el problema. Mientras tanto, hay una serie de medidas que el usuario puede realizar con el fin de evitar que los hackers tengan acceso a su equipo de forma rematada.

Una de estas medidas es evitar abrir o descagar documentos desconocidos. Por ejemplo, aquellos que llegan por e-mail. La vulnerabilidad, recordemos, se carga mediante una plantilla remota de Word. Por lo tanto, es muy difícil que Microsoft Defender o cualquier otro antivirus de similares características detecte el archivo como una amenaza.

Por otro lado, también es posible deshabilitar algunas características y procesos de Microsoft Word, como bloquear las aplicaciones de Office para que no creen procesos secundarios o eliminar de forma manual el archivo 'ms-msdt' a través del editor de registro. Esto hará que Microsoft no sea capaz de ejecutar este proceso.

Recibe cada mañana nuestra newsletter. Una guía para entender lo que importa en relación con la tecnología, la ciencia y la cultura digital.

Procesando...
¡Listo! Ya estás suscrito

También en Hipertextual: