Se ha descubierto una vulnerabilidad de día cero no parcheada en Microsoft Windows que está siendo explotada activamente para lanzar ataques dirigidos contra organizaciones.
La vulnerabilidad ha sido descubierta por el investigador de seguridad Haifei Li de EXPMON y reportada a Microsoft el pasado domingo. Tras analizar el reporte y la vulnerabilidad, a la que se ha asignado el identificador CVE-2021-40444, Microsoft ha publicado una alerta de seguridad explicando algunos detalles y proponiendo contramedidas.
El fallo de seguridad se encuentra en el componente MSHTML de Microsoft Window (utilizado para renderizar contenido basado en web) que podría llegar a permitir la ejecución de código. Según la alerta de Microsoft, se tiene conocimiento de ataques dirigidos que intentan aprovechar esta vulnerabilidad mediante el uso de documentos de Microsoft Office especialmente diseñados.
Para explotar la vulnerabilidad, un atacante podría crear un control ActiveX malicioso para incorporarlo en un documento de Microsoft Office que aloja el motor de renderizado del navegador y convencer a la víctima para que abra el documento malicioso. Existen varias pruebas de concepto (PoC) para esta vulnerabilidad.
Microsoft aun está investigando el problema y se presume que podría lanzarse una solución el martes, durante el ciclo mensual de parches de seguridad.
Mientras tanto, el gigante de Redmon ha propuesto la siguiente contramedida para mitigar el impacto: deshabilitar la instalación de controles ActiveX en Internet Explorer, configurando las Políticas de grupo utilizando el Editor de políticas de grupo local o actualizando el registro. De esta forma, los controles ActiveX instalados anteriormente seguirán ejecutándose pero no los nuevos, evitándose la exposición a esta vulnerabilidad.
También se declara en la alerta que Microsoft Defender Antivirus y Microsoft Defender for Endpoint a partir de la compilación 1.349.22.0 o más reciente, proporcionan detección y protección para esta vulnerabilidad. Las alertas de Microsoft Defender para Endpoint se mostrarán como «Ejecución sospechosa de archivo Cpl» («Suspicious Cpl File Execution»).
En cualquier caso se recomienda extremar las precauciones y no abrir documentos de Microsoft Office procedentes de fuentes en las que no se tenga absoluta confianza.