Microsoft ha publicado un parche de emergencia que soluciona una vulnerabilidad de día cero de Microsoft Office, rastreada como CVE202621509. Se trata de un fallo de seguridad que permite a los atacantes eludir las mitigaciones basadas en COM/OLE en Microsoft 365 y Microsoft Office.
La vulnerabilidad está siendo explotada actualmente en la naturaleza y se ha añadido al catálogo de Vulnerabilidades Explotadas Conocidas (KEV) de CISA, aumentando la urgencia para su remediación.
Detalles de la vulnerabilidad
CVE202621509
- Tipo: Anulación de funciones de seguridad
- Gravedad: CVSS 7.8 (Alta )
- Aplicaciones Microsoft 365
Causa raíz .
- Microsoft identifica el problema como "dependencia de entradas no confiables en una decisión de seguridad", lo que permite a los atacantes eludir las protecciones OLE.
Vector de ataque -
- Los actores de la amenaza deben enviar un archivo de Office especialmente diseñado.
- El éxito del ataque depende de la interacción del usuario: hay que convencer al destinatario para que abra el archivo.
- El panel de vista previa no es un vector, lo que reduce el riesgo a través de la exposición pasiva.
Explotación in the wild -
Microsoft reconoce que la vulnerabilidad está siendo explotada activamente, aunque no se han revelado detalles sobre el alcance de la campaña, la atribución del actor de la amenaza o las TTP. El problema fue descubierto internamente por MSTIC, MSRC y el equipo de seguridad del grupo de productos de Office.
Impacto
Impacto potencial
- Anulación de los controles de seguridad de OLE
- Ejecución de componentes COM/OLE maliciosos
- Entrega de cargas útiles secundarias
- Compromiso de credenciales a través de flujos de trabajo de documentos maliciosos
- Mayor exposición en entornos empresariales en los que las macros de Office y los componentes incrustados son comunes .
Exposición de la empresa
Las organizaciones corren un riesgo elevado si
- Los usuarios reciben con frecuencia archivos externos de Office
- Las implementaciones heredadas de Office (2016/2019) siguen activas
- Los flujos de trabajo de documentos dependen de la automatización incrustada basada en OLE o COM
Mitigación y parches
Microsoft ha impulsado actualizaciones de emergencia para:
- 32 bits: 16.0.10417. 20095
- 64 bits: 16.0.10417. 20095
Protección automática
- Los usuarios de Office 2021 y versiones posteriores están protegidos mediante un cambio en el servicio, perodeben reiniciar sus aplicaciones de Office para que se active la protección.
Recomendaciones
Acción inmediata
- Despliegue los parches de emergencia en todas las instalaciones de Office (prioridad 2016/2019).
- Imponer el reinicio de las aplicaciones de Office para los usuarios de 2021/Microsoft 365.
Si le preocupa alguna de las amenazas descritas en este boletín o necesita ayuda para determinar qué medidas debe tomar para protegerse de las amenazas más importantes a las que se enfrenta su organización, póngase en contacto con su gestor de cuentas o, alternativamente , Póngase en contacto para averiguar cómo puede proteger su organización.