Los nuevos detalles sobre la reciente vulnerabilidad de día cero de MSHTML han asustado aún más a los investigadores de ciberseguridad , después de haber visto exploits en la naturaleza.
Rastreado como CVE-2021-40444, Microsoft reveló recientemente la vulnerabilidad en el motor del navegador de Internet Explorer Trident, también conocido como MSHTML, que ayuda a presentar contenido basado en navegador dentro de los documentos de Microsoft Office .
Microsoft tuvo cuidado de no compartir demasiados detalles sobre la vulnerabilidad aún sin parchear. Sin embargo, los investigadores de seguridad se han mostrado más comunicativos después de analizar documentos maliciosos de Office utilizados en campañas del mundo real.
BleepingComputer ha compartido detalles sobre la naturaleza peligrosa de la vulnerabilidad, que puede solucionar los mecanismos de protección integrados tanto en Microsoft Office como en Office 365 .
Tenga extrema precaución
En un mundo ideal, la función «Vista protegida» de Microsoft Office es suficiente para bloquear el exploit, ya que existe en documentos que provienen de Internet.
Sin embargo, el analista de vulnerabilidades Will Dormann le dijo a BleepingComputer que hay varias formas de que un documento malicioso eluda la Vista protegida al ocultar el hecho de que proviene de Internet. Por ejemplo, los documentos abiertos desde el interior de contenedores, como archivos comprimidos o archivos ISO, se tratan como archivos locales.
Además, Dormann descubrió que también podría usar esta vulnerabilidad en archivos RTF, que no cuentan con las protecciones de la función Vista protegida.
Si bien Microsoft aún no ha compartido un parche para tapar la vulnerabilidad, ha compartido mitigaciones para evitar que los documentos procesen el contenido ActiveX, eliminando así el exploit.
