AlertaCiberNews

Noticias de ciber seguridad

AlertaCiberNews

Noticias de ciber seguridad

Vulnerabilidades

Microsoft parchea vulnerabilidad crítica en Microsoft Office que permite ejecución remota de código

admin

Introducción

El pasado martes, Microsoft publicó un parche de seguridad para abordar una vulnerabilidad crítica presente en varias versiones de Microsoft Office. Este fallo, clasificado como ejecución remota de código (RCE), permite a un atacante ejecutar comandos arbitrarios en los sistemas afectados. El exploit puede activarse tanto mediante el acceso local al sistema como especialmente a través de la manipulación social, al persuadir a la víctima para que abra un archivo Office especialmente diseñado. La gravedad del incidente ha puesto en alerta a equipos de ciberseguridad, analistas SOC y responsables de cumplimiento normativo debido al alto riesgo de compromiso y la facilidad de explotación.

Contexto del Incidente o Vulnerabilidad

El incidente se refiere a la vulnerabilidad identificada como CVE-2024-32110, que afecta a Microsoft Office 2016, Office 2019, Office LTSC 2021, Microsoft 365 Apps for Enterprise y variantes de Office para Mac. La vulnerabilidad fue descubierta por investigadores de seguridad independientes y reportada a Microsoft a través de su programa de recompensas. Según la matriz de severidad de Microsoft, el fallo alcanza una puntuación base CVSS v3.1 de 8.8, lo que la sitúa en la categoría crítica.

El ataque requiere que el atacante tenga acceso previo al sistema, o, de forma mucho más probable, que consiga que un usuario abra un documento Office malicioso recibido por correo electrónico, compartido por OneDrive o descargado desde internet. Esta técnica de entrega es una de las más habituales en campañas de phishing dirigidas a entornos corporativos.

Detalles Técnicos

CVE-2024-32110 reside en el motor de procesamiento de archivos de Microsoft Office. El fallo aprovecha un error de validación en la carga de objetos OLE (Object Linking and Embedding) dentro de archivos Word (.docx, .docm) y Excel (.xlsx, .xlsm). Un atacante puede incrustar código malicioso en estos objetos, que se ejecutará cuando el documento sea abierto por el usuario.

Desde el punto de vista del MITRE ATT&CK, los principales TTP identificados corresponden a la técnica T1204 (User Execution) y T1059 (Command and Scripting Interpreter). Ya se ha observado la utilización de frameworks como Metasploit y Cobalt Strike para crear payloads compatibles con esta vulnerabilidad. Proof of Concepts (PoC) han sido publicados en foros underground y plataformas como GitHub, lo que aumenta el riesgo de explotación masiva.

Entre los indicadores de compromiso (IoC) más relevantes se encuentran:

– Documentos con macros ofuscadas e incrustaciones OLE sospechosas.
– Conexiones salientes anómalas tras la apertura de documentos Office.
– Ejecución de procesos secundarios (cmd.exe, powershell.exe) originados por aplicaciones de Office.
– Cadenas de User-Agent y hashes SHA256 asociados a PoC distribuidos en campañas recientes.

Impacto y Riesgos

La explotación exitosa de CVE-2024-32110 permite al atacante obtener los mismos privilegios que el usuario que abre el documento, lo que puede traducirse en escalada de privilegios, instalación de malware, ransomware, robo de credenciales o movimientos laterales en la red corporativa. Según los datos de Microsoft y otras firmas de Threat Intelligence, las versiones sin parche de Office suponen un vector de ataque abierto en más del 70% de los endpoints empresariales evaluados.

El daño potencial va más allá de la simple infección: se han documentado casos de robo de datos confidenciales (PII, información financiera e intelectual), secuestro de archivos y, en algunos casos, interrupción de operaciones críticas. El impacto económico varía, pero se estima que un incidente grave podría costar a una organización europea media entre 150.000 a 450.000 euros, sin contar sanciones por incumplimiento de GDPR o NIS2.

Medidas de Mitigación y Recomendaciones

Microsoft ha lanzado parches de seguridad en la actualización de junio de 2024 para todas las versiones afectadas. Es imprescindible que los equipos de IT y los administradores de sistemas apliquen estos parches de inmediato, especialmente en entornos Windows con Office instalado localmente y en dispositivos gestionados por políticas de Intune y SCCM.

Como medidas adicionales, se recomienda:

– Configurar la política de «Vista protegida» en Office para deshabilitar la ejecución automática de macros y objetos embebidos.
– Aplicar reglas YARA y firmas de IDS/IPS para detectar documentos comprometidos.
– Monitorizar logs de eventos y correlacionar alertas de apertura de documentos Office con actividad anómala en endpoints.
– Realizar campañas de concienciación para identificar intentos de phishing dirigidos a la entrega de exploits Office.
– Limitar los privilegios de usuario y aplicar el principio de mínimo privilegio en toda la organización.

Opinión de Expertos

Expertos como Jaime Sánchez, consultor de ciberseguridad y ex CISO de una importante entidad financiera, señalan: «La velocidad de weaponización de vulnerabilidades Office sigue siendo alarmante. La facilidad con la que se pueden automatizar exploits desde frameworks conocidos convierte este tipo de incidentes en una prioridad absoluta para cualquier responsable de seguridad».

Por su parte, Marta Gómez, analista SOC líder en una multinacional española, destaca: «Estamos viendo un incremento notable en la utilización de documentos ofuscados para evadir soluciones AV tradicionales. La respuesta debe ser holística, combinando tecnología, procesos y formación».

Implicaciones para Empresas y Usuarios

Para las empresas, la explotación de este tipo de vulnerabilidades no solo supone un riesgo técnico, sino también legal y reputacional. Un incidente de fuga de datos derivado de la explotación de CVE-2024-32110 puede acarrear sanciones bajo el Reglamento Europeo de Protección de Datos (GDPR) y la nueva directiva NIS2, que exige la notificación de incidentes graves en menos de 72 horas.

Los usuarios, tanto en el entorno corporativo como doméstico, deben ser especialmente cautelosos ante documentos Office recibidos de fuentes desconocidas, incluso si parecen legítimos. La ingeniería social sigue siendo el eslabón más débil.

Conclusiones

La vulnerabilidad CVE-2024-32110 en Microsoft Office representa un grave riesgo para organizaciones y usuarios de todo el mundo, dada la ubicuidad de la suite ofimática y la facilidad de explotación. La aplicación urgente de los parches de Microsoft y la implementación de controles técnicos y de concienciación son imprescindibles para mitigar el riesgo. La evolución de las amenazas Office exige una vigilancia constante y una defensa en profundidad, alineada con los marcos regulatorios europeos y las mejores prácticas del sector.

(Fuente: www.darkreading.com)