Una vulnerabilidad de día cero recientemente descubierta en Microsoft Office podría permitir que los piratas informáticos tomen el control de su computadora, incluso si no abre un archivo infectado. Los documentos infectados utilizan una función de plantilla de Word para recuperar un archivo HTML de un servidor web remoto. Este archivo HTML luego carga y ejecuta el código de PowerShell. PowerShell es un programa de gestión de configuración y automatización de tareas para Windows que se puede utilizar para ejecutar tareas administrativas.
El problema aquí es que Microsoft Word ejecuta el código malicioso a través de msdt, que es una herramienta de soporte. Si el documento malicioso se cambia a un formato de texto enriquecido, se ejecuta sin que el documento se abra a través de la pestaña de vista previa en el Explorador de archivos de Windows.
Esta vulnerabilidad atrajo la atención del investigador de seguridad Kevin Beaumont cuando Defender for Endpoint, una solución de seguridad empresarial de Microsoft, no la detectó.
En una publicación de blog, Beaumont documenta cómo probó esta vulnerabilidad en varias computadoras diferentes y, según él, «funciona más común que no». Se demostró que funciona en Windows 10 incluso con las macros deshabilitadas y Microsoft Defender funcionando. La vulnerabilidad parecía ser explotable usando documentos .RTF en todas las versiones de Microsoft Office.
Lo mejor de Express Premium
El 30 de mayo, el Centro de Respuesta de Seguridad de Microsoft reconoció la vulnerabilidad y, aunque la compañía aún no lanzó un parche, sí enumeró algunas soluciones que podrían proteger las PC de los usuarios mientras tanto.
? Oferta por tiempo limitado | Express Premium con ad-lite por solo Rs 2/día ?? Haga clic aquí para suscribirse ?
La primera solución que recomendó fue deshabilitar el protocolo URL de MSDT. Esto evita que los solucionadores de problemas se inicien como enlaces que incluyen enlaces en todo el sistema operativo. Incluso después de deshabilitar esto, aún se puede acceder a los solucionadores de problemas usando la aplicación «Obtener ayuda» y a través de la configuración del sistema. Así es como puede desactivar el protocolo:
- Ejecute el símbolo del sistema desde la cuenta de administrador
- Haga una copia de seguridad de su clave de registro ejecutando el comando registro exportar HKEY_CLASSES_ROOT\ms-msdt nombre de archivo
- Ejecutar el comando registro eliminar HKEY_CLASSES_ROOT\ms-msdt /f
Tenga en cuenta que este método requiere un cierto nivel de conocimiento técnico para que pueda restaurar el registro desde el archivo de copia de seguridad guardado después.
Afortunadamente, Microsoft también mencionó una solución alternativa más simple: activar la protección proporcionada por la nube y el envío automático de muestras en Microsoft Defender Antivirus. Idealmente, esto significaría que Defender usaría inteligencia artificial y aprendizaje automático para identificar y detener amenazas nuevas y desconocidas.
