Foto: Shutterstock
B:Secure

Detectan nueva vulnerabilidad de Día Cero en Microsoft Word

Foto: Shutterstock

El error, hasta ahora desconocido, permite a los hackers instalar de forma oculta diferentes tipos de malware, incluso en equipos totalmente asegurados. La vulnerabilidad afecta todas las versiones de Office, incluso la más reciente, Microsoft Office 2016 para Windows 10.

De acuerdo con los reportes de investigadores de seguridad, la vulnerabilidad de Día Cero encontrada en Microsoft Word no se vale de macros para lograr su ataque, sino de una aplicación HTML maliciosa.

Los macros, relatan en el blog de seguridad de McFee, suelen advertir a los usuarios sobre el riesgo de abrir dichos documentos; en cambio, la nueva vulnerabilidad no es notoria, ya que abre un documento de Word falso que descarga una aplicación maliciosa de un servidor.

La aplicación HTML descarga y ejecuta un script malicioso que puede utilizarse para instalar malware, y lo grave, advierten los investigadores de McFee es que el atacante puede ejecutar código en el equipo infectado y burlar las barreras de seguridad.

Un día después del informe de McFee, la firma de seguridad FireEye lanzó un reporte similar sobre esta vulnerabilidad en Word. Ambas empresas coincidieron que la raíz del problema nace de la función OLE de Windows (Object Linking and Embedding) que permite a una aplicación vincular e integrar contenido de otros documentos.

La funcionalidad OLE se utiliza, la mayoría de las veces, en el visor incorporado de documentos de Office y Windows Word Pad. Según los expertos ha sido la causa de esta y otras vulnerabilidad en los últimos años.

El informe de ambas empresas de seguridad detectó ataques de este tipo desde el mes de enero, y advirtió que puede explotarse en todas las versiones de Office, incluso la más reciente, Office 2016.

Netmedia es mucha más que noticias. suscríbase y reciba lo mejor

Te recomendamos

Detectan nueva vulnerabilidad de Día Cero en Microsoft Word