Investigadores de ciberseguridad de Check Point Software Technologies Ltd. dijeron haber identificado cuatro vulnerabilidades en el paquete de software de Microsoft Office, incluyendo Excel y Office.
Si se explotan, las vulnerabilidades permitirían a los hackers inyectar código malicioso en documentos de Office, como Word, Excel y Outlook, y enviarlos a objetivos involuntarios.
Las vulnerabilidades podrían permitir a los hackers tomar el control de los ordenadores, iniciar un ataque de ransomware, acceder a los datos y leer los archivos, dijeron los investigadores.
El origen de los puntos débiles se debe a errores de codificación en una función de creación de gráficos llamada MSGraph que se utiliza en el paquete de software de Office desde 1995. Esto lleva a los investigadores a creer que los fallos de seguridad han existido “durante varios años”, dijo Check Point en un comunicado.
Los hackers podrían utilizar la vulnerabilidad dentro de esa herramienta de creación de gráficos para enviar a las víctimas un archivo que incluya el gráfico malicioso. Una vez que ese archivo se descarga y se abre, se activa la vulnerabilidad.
Los investigadores instan a los usuarios del software de Windows a actualizarlo lo antes posible. Han informado a Microsoft de la vulnerabilidad y los problemas ya han sido solucionados, según ha declarado Check Point Software.
“Las vulnerabilidades encontradas afectan a casi todo el ecosistema de Microsoft Office. Es posible ejecutar un ataque de este tipo en casi cualquier software de Office, incluyendo Word, Outlook y otros”, dijo Yaniv Balmas, el jefe de investigación cibernética de Check Point Software.
“Hemos aprendido que las vulnerabilidades se deben a errores de análisis en el código heredado. Uno de los principales aprendizajes de nuestra investigación es que el código heredado sigue siendo un eslabón débil en la cadena de seguridad, especialmente en software complejo como Microsoft Office. Aunque en nuestra investigación solo encontramos cuatro vulnerabilidades en la superficie de ataque, nunca se puede saber cuántas vulnerabilidades más como éstas están todavía por ahí esperando a ser encontradas. Insto encarecidamente a los usuarios de Windows a que actualicen su software inmediatamente, ya que existen numerosos vectores de ataque posibles por parte de un atacante que active las vulnerabilidades que hemos encontrado”.
Microsoft Office es un software de uso común que puede encontrarse en casi cualquier escritorio estándar.