Detectan cuatro vulnerabilidades presentes durante años en Microsoft Office

Check Point ha encontrado cuatro vulnerabilidades en la suite ofimática de Microsoft, que sospecha que llevaban varios años ocultas.

Todas ellas tienen que ver con errores de análisis en el código heredado de los formatos de archivo Excel95. A través de una serie de comprobaciones, los expertos en seguridad detectaron funciones vulnerables dentro de MSGraph que afectaban a varios productos de Office, incluyendo Office Online Server, Excel y Excel para OSX.

Aunque las brechas se pueden incrustar en la mayoría de documentos de Office, lo más sencillo para los ciberdelincuentes sería atacar a través de un Excel malicioso por medio del correo electrónico o enlaces de descarga. “Dado que toda la suite de Office tiene la capacidad de incrustar archivos de Excel, se amplía el vector de ataque, haciendo posible la ejecución de un programa de este tipo en casi cualquier software de Office, incluyendo Word, Outlook y otros”, explican desde Check Point.

“Las vulnerabilidades detectadas afectan a gran parte del entorno de Microsoft Office. Es posible ejecutar un ciberataque en casi cualquier software de Office, incluyendo Word, Outlook y otros”, insiste Eusebio Nieva, director técnico de Check Point Software para España y Portugal.

“Descubrimos que las debilidades se deben a errores de análisis en el código heredado”, por lo que “una de las principales conclusiones de nuestra investigación es que el código heredado sigue siendo un eslabón débil en la cadena de seguridad, especialmente en un software complejo como Microsoft Office”, prosigue Nieva.

“Aunque en nuestra indagación sólo encontramos cuatro vulnerabilidades en la superficie de ataque, nunca se puede saber cuántas más existen”, añade. Y advierte: “es fundamental que los usuarios de Windows actualicen su software inmediatamente, ya que existen numerosos vectores de asalto posibles”.

Microsoft ya ha abordado las vulnerabilidades y ha publicado cuatro parches para garantizar la seguridad de sus usuarios: CVE-2021-31174, CVE-2021-31178, CVE-2021-31179 y CVE-2021-31939.

Mónica Tilves

Licenciada en Xornalismo por la Universidad de Santiago de Compostela en la especialidad de Periodismo Electrónico y Multimedia. Apasionada de los gadgets, la fotografía digital, el diseño web y el arte. Tras un primer contacto con el mundo de la prensa escrita y con la suficiencia investigadora debajo del brazo, me decanto por los medios online. Cubro la actualidad informativa en Silicon Week desde 2011, además de colaborar en otras publicaciones del grupo NetMediaEurope en España como Silicon News. Ahora en Silicon.es.

Recent Posts

Emotet no abandona el liderato en ‘malware’ ni en vacaciones

Este troyano modular afectó al 9 % de las empresas españolas en julio. Le siguen…

7 mins ago

Globant convoca la tercera edición de los premios Women That Build Awards

Reconocerá el trabajo de mujeres a través de cinco categorías: Board Executive, Digital Leader, Tech…

32 mins ago

Hacia el humano aumentado: Una inversión de 100.000 millones de dólares

Esa es la cifra que invertirá Europa en el año 2026, según IDC, en cuestiones…

1 hora ago

NVIDIA trabaja en asistentes virtuales que pasen la prueba de Turing

Lanza ACE, un conjunto de herramientas de inteligencia artificial nativas en la nube que permiten…

2 horas ago

Lenovo mejora sus ingresos y beneficios por noveno trimestre consecutivo

Sus ingresos trimestrales rozan los 17.000 millones de dólares, mientras que los beneficios netos superan…

2 horas ago

Los datos del roaming IoT crecerán por encima del 1.000 % en cinco años

De los 86 petabytes de datos previstos para 2022 se pasará a 1.100 petabytes en…

3 horas ago