Logo Computerhoy.com
Newsletters
Logo Computerhoy.com
  1. Home >
  2. Tecnología >
  3. Aplicaciones

Fallo de Microsoft Office compromete el PC sin interacción del usuario

Aplicaciones
vulnerabilidad office
En los parches de seguridad de noviembre, Microsoft ha solucionado una vulnerabilidad de Office que ejecuta código malicioso sin la interacción del usuario.

En los parches de seguridad de noviembre de 2017 que Microsoft lanzó ayer, la compañía de Redmond ha solucionado 53 vulnerabilidades de varios productos, entre las que destaca un fallo de seguridad de Microsoft Office que afecta a todas las versiones de los últimos 17 años.

Este bug se conoce como CV-2017-11882 y fue descubierto por un equipo de investigadores de la compañía Embedi. Afecta al editor de ecuaciones de Microsoft (EQNEDT32.EXE), uno de los ejecutables que se instala en el ordenador con la suite ofimática, cuya función es la de permitir el uso de ecuaciones matemáticas en los documentos de Office como objetos OLE dinámicos.

Los expertos de Embedi se dieron cuenta de que una de las versiones del archivo EQNEDT32.EXE, que se ha mantenido hasta la actualidad para garantizar la compatibilidad con documentos antiguos, fue compilada en noviembre del año 2000. Por lo tanto, se estaba ejecutando en un código muy antiguo y no contaba con las protecciones de seguridad actuales del paquete Office ni de Windows 10.

Qué es un exploit y qué puedes hacer para protegerte

Con un vistazo más a fondo, los investigadores de seguridad encontraron dos vulnerabilidades de corrupción de memoria, que al ser explotadas permitían la ejecución de una secuencia de comandos arbitraria. De acuerdo con el informe del equipo, el exploit utilizado funcionó en todas las versiones de la suite ofimática, incluido Microsoft Office 365, con todas las versiones de Windows de los últimos 17 años y en todos los tipos de arquitecturas (32 y 64 bits). 

No son infalibles, pero estos antivirus te mantienen a salvo de la mayoría de amenazas

Lo que resultó muy preocupante es que para explotar el agujero de seguridad no se necesita la intervención activa de la víctima, que no es consciente de que su equipo está siendo atacado porque en ningún momento se interrumpe el flujo de trabajo. Para mantenerte a salvo, instala las actualizaciones de seguridad KB2553204, KB3162047, KB4011276 y KB4011262

En el siguiente vídeo puedes ver una demostración del equipo de Embedi de ataques lanzados en Office 2010 con Windows 7, Office 2013 con Windows 8.1 y Office 2016 con Windows 10. 

[Fuente: Bleeping Computer]

Descubre más sobre , autor/a de este artículo.

Conoce cómo trabajamos en Computerhoy.

Etiquetas: Microsoft, Microsoft Office