Microsoft ha revelado una falla de día cero sin parches en Office que, si se explota con éxito, podría resultar en la divulgación no autorizada de información confidencial a actores maliciosos.
La vulnerabilidad, identificada como CVE-2024-38200 (puntuación CVSS: 7,5), ha sido descrita como una falla de suplantación que afecta a las siguientes versiones de Office:
- Microsoft Office 2016 para ediciones de 32 y 64 bits
- Microsoft Office LTSC 2021 para ediciones de 32 y 64 bits
- Aplicaciones de Microsoft 365 para empresas para sistemas de 32 y 64 bits
- Microsoft Office 2019 para ediciones de 32 y 64 bits
A los investigadores Jim Rush y Metin Yunus Kandemir se les atribuye el descubrimiento y el informe de la vulnerabilidad.
«En un escenario de ataque web, un atacante podría alojar un sitio web (o explotar un sitio web comprometido que acepte o aloje contenido proporcionado por el usuario) que contenga un archivo diseñado específicamente para explotar la vulnerabilidad», dijo Microsoft. dicho en una opinión consultiva.
“Sin embargo, un atacante no tendría forma de obligar al usuario a visitar el sitio web. En cambio, un atacante tendría que convencer al usuario de que haga clic en un enlace, generalmente a través de un incentivo en un correo electrónico o mensaje de mensajería instantánea, y luego convencer al usuario de que abra el archivo especialmente diseñado. »
Se espera que se envíe un parche formal para CVE-2024-38200 el 13 de agosto como parte de sus actualizaciones mensuales del martes de parches, pero el gigante tecnológico dijo que identificó una solución alternativa que habilitó a través de Feature Flighting a partir del 30 de julio de 2024.
También señaló que aunque los clientes ya están protegidos en todas las versiones compatibles de Microsoft Office y Microsoft 365, es esencial actualizar a la versión final del parche cuando esté disponible en unos días para una protección óptima.
Microsoft, que calificó la falla como «un exploit menos probable», también describió tres estrategias de mitigación:
- Bloquee las comunicaciones de red TCP 445/SMB salientes mediante un firewall perimetral, un firewall local y mediante configuraciones de VPN para evitar que se envíen mensajes de autenticación NTLM a recursos compartidos de archivos remotos.
La revelación se produce cuando Microsoft dijo que estaba trabajando para solucionar dos vulnerabilidades de día cero (CVE-2024-38202 y CVE-2024-21302) que podrían explotarse para «desparchar» sistemas Windows actualizados y reintroducir vulnerabilidades antiguas.
A principios de esta semana, Elastic Security Labs reveló una variedad de métodos que los atacantes pueden usar para ejecutar aplicaciones maliciosas sin activar Windows Smart App Control y las advertencias de SmartScreen, incluida una técnica llamada LNK stomping que se explota en la naturaleza durante más de seis años.
