Una vulnerabilidad recientemente descubierta en Microsoft Office podría dejar que los piratas informáticos tomen el control de tu computador, incluso si no abres un archivo infectado.
Los documentos infectados utilizan una función de plantilla de Word para recuperar un archivo HTML de un servidor web remoto. Este archivo HTML carga y ejecuta el código de PowerShell. PowerShell es un programa de gestión de configuración y automatización de tareas para Windows que se puede utilizar para ejecutar tareas administrativas.
El problema en sí es que Microsoft Word ejecuta el código malicioso a través de msdt, que es una herramienta de soporte. Si el documento malicioso se cambia a un formato de texto, se ejecuta sin que el documento se abra a través de la pestaña de vista previa en el ‘Explorador de archivos de Windows’.
Esta vulnerabilidad atrajo la atención del investigador de seguridad Kevin Beaumont cuando Defender for Endpoint, una solución de seguridad empresarial de Microsoft, no la detectó.
TE INTERESA: Cómo Dividir La Pantalla En Windows 10
Más sobre la vulnerabilidad de Microsoft Office
- En una publicación de blog, Beaumont documenta cómo probó esta vulnerabilidad en varios computadores diferentes y dijo: ‘”funciona por igual en todas”
- Beaumont demostró que funciona en Windows 10 incluso con las macros deshabilitadas y Microsoft Defender funcionando.
- La vulnerabilidad parece estar presente en documentos .RTF de todas las versiones de Microsoft Office.
- El 30 de mayo, el Centro de Respuesta de Seguridad de Microsoft reconoció la vulnerabilidad y, aunque la compañía aún no lanzó un parche, sí enumeró algunas soluciones que podrían proteger los computadores de los usuarios ‘mientras tanto’.
Las posibles soluciones que sugiere Microsoft
Debes tener en cuenta que este método requiere un cierto nivel de conocimiento técnico para que puedas restaurar el registro desde el archivo de copia de seguridad guardado.
- Deshabilitar el protocolo URL de MSDT. Esto evita que los solucionadores de problemas se inicien como enlaces que incluyen enlaces en todo el sistema operativo. Incluso después de deshabilitar esto, aún se puede acceder a los solucionadores de problemas usando la aplicación ‘Obtener ayuda’ y a través de la configuración del sistema. Así es como puedes desactivar el protocolo:
- Ejecuta el símbolo del sistema desde la cuenta de administrador.
- Realiza una copia de seguridad de tu clave de registro ejecutando el comando reg export HKEY_CLASSES_ROOT\ms-msdt filename
- Ejecuta el comando reg delete HKEY_CLASSES_ROOT\ms-msdt /f
- Activar la protección proporcionada por la nube y el envío automático de muestras en Microsoft Defender Antivirus. Esto significa que ‘Defender’ usaría inteligencia artificial y aprendizaje automático para identificar y detener amenazas nuevas y desconocidas.
Imagen: Microsoft