Cómo los piratas informáticos aprovechan los documentos de Microsoft Word para piratear Windows
Un error descubierto recientemente en el motor de navegador MSHTML patentado de Microsoft permite a los piratas informáticos ejecutar código de forma remota en todas las versiones de Windows. Los atacantes están utilizando documentos de Word especialmente diseñados para explotar este error de día cero. Desafortunadamente, MSHTML también es utilizado por varios productos de Microsoft, incluidos Skype, Visual Studio y Microsoft Outlook, por lo que el problema está bastante extendido.
Como tal, exploremos cómo funciona el exploit y cómo mantenerse a salvo de él.
¿Cómo funciona el exploit de día cero de Microsoft Word?
El ataque comienza cuando se engaña a los usuarios para que abran un documento de Word armado. Este documento contendrá un control ActiveX especialmente diseñado para ser manejado por el motor MSHTML. Cuando se carga correctamente, los piratas informáticos pueden utilizar este control ActiveX para ejecutar código remoto en el dispositivo comprometido.
Microsoft está rastreando este error como CVE-2021-40444 y le ha asignado una puntuación CVSS de 8.8. Hace que el error de MSHTML sea un problema de alto impacto con el potencial de causar daños considerables.
Cómo mitigar el ataque MSHTML
Los usuarios pueden evitar el ataque MSHTML si no abren documentos de Word que no sean de confianza. Incluso si hace clic accidentalmente en dichos documentos, ejecutar Office con las configuraciones predeterminadas probablemente lo mantendrá a salvo de este último ataque de día cero relacionado con Microsoft.
De forma predeterminada, Office abre los documentos descargados de Internet en Vista protegida o Guardia de aplicaciones para Office. Esta función evita que los archivos que no son de confianza accedan a recursos cruciales del sistema, por lo que probablemente estará seguro.
Sin embargo, los usuarios que operan con privilegios de administrador corren un alto riesgo del ataque MSHTML. Dado que ahora no hay ningún parche de trabajo disponible, recomendamos abrir documentos de Office solo como un usuario estándar, donde la Vista protegida puede salvarlo. Microsoft también ha dicho que deshabilitar el control ActiveX puede prevenir este ataque.
Cómo deshabilitar el control ActiveX
Para deshabilitar el control ActiveX, abra un editor de texto y cree un archivo llamado disable-activex.reg . Puede llamar a este archivo de cualquier forma siempre que la extensión .reg esté ahí. Ahora, pegue lo siguiente en el archivo y guárdelo.
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINESOFTWAREPoliciesMicrosoftWindowsCurrentVersionInternet SettingsZones ]
"1001"=dword:00000003
"1004"=dword:00000003
[HKEY_LOCAL_MACHINESOFTWAREPoliciesMicrosoftWindowsCurrentVersionInternet SettingsZones1]
"1001"=dword:00000003
"1004"=dword:00000003
[HKEY_LOCAL_MACHINESOFTWAREPoliciesMicrosoftWindowsCurrentVersionInternet SettingsZones2]
"1001"=dword:00000003
"1004"=dword:00000003
[HKEY_LOCAL_MACHINESOFTWAREPoliciesMicrosoftWindowsCurrentVersionInternet SettingsZones3]
"1001"=dword:00000003
"1004"=dword:00000003
Haga doble clic en el archivo y haga clic en Sí cuando Windows lo solicite. Reinicie su PC una vez hecho esto, y Windows aplicará las nuevas configuraciones.
Tenga cuidado con los documentos de Word que no son de confianza
Microsoft aún tiene que lanzar parches oficiales para el exploit MSHTML. Por lo tanto, no hacer clic en los documentos descargados de Internet es su mejor opción si desea mantenerse seguro. Afortunadamente, Defender puede detectar y evitar que este ataque comprometa su sistema. Así que asegúrese de activar Microsoft Defender y habilitar la protección en tiempo real.