Microsoft llama la atención sobre una serie de ataques de ejecución remota de código de día cero que afectan a su suite de productividad Office.
Según una advertencia urgente del mayor fabricante de software del mundo, espías y ciberdelincuentes rusos están explotando activamente fallos de seguridad aún sin parche en los productos Windows y Office de Microsoft.
En un movimiento inusual, Microsoft documentó "una serie de vulnerabilidades de ejecución remota de código" que afectan a los usuarios de Windows y Office y confirmó que estaba investigando múltiples informes de ataques dirigidos de ejecución de código utilizando documentos de Microsoft Office.
Los profesionales de seguridad de Redmond etiquetaron los fallos de Office sin parchear con el identificador CVE-2023-36884 e insinuaron que podría publicarse un parche fuera de banda antes del martes de parches del mes que viene.
Del boletín CVE-2023-36884:
"Microsoft está investigando informes sobre una serie de vulnerabilidades de ejecución remota de código que afectan a los productos Windows y Office. Microsoft es consciente de los ataques dirigidos que intentan explotar estas vulnerabilidades mediante el uso de documentos de Microsoft Office especialmente diseñados.
Un atacante podría crear un documento de Microsoft Office especialmente diseñado que le permitiera realizar la ejecución remota de código en el contexto de la víctima. Sin embargo, un atacante tendría que convencer a la víctima para que abriera el archivo malicioso.
Una vez concluida esta investigación, Microsoft tomará las medidas oportunas para ayudar a proteger a sus clientes. Esto podría incluir proporcionar una actualización de seguridad a través de nuestro proceso de lanzamiento mensual o proporcionar una actualización de seguridad fuera de ciclo, dependiendo de las necesidades del cliente."
En otro blog, el equipo de inteligencia de amenazas de Microsoft señaló una campaña de phishing con exploits de día cero de Office dirigida a entidades de defensa y gubernamentales de Europa y Norteamérica. "La campaña abusaba de CVE-2023-36884, que incluía una vulnerabilidad de ejecución remota de código explotada a través de documentos de Microsoft Word, utilizando señuelos relacionados con el Congreso Mundial Ucraniano", advirtió la compañía.
El día cero de Microsoft Office encabeza un martes de parches monstruoso en el que se publican parches para más de 130 defectos de seguridad documentados en el ecosistema de Microsoft Windows.
Según datos de ZDI, una empresa que realiza un seguimiento de los parches de software, nueve de los defectos están calificados como "críticos", la máxima calificación de gravedad de Microsoft.
"Este volumen de correcciones es el más alto que hemos visto en los últimos años", señaló ZDI, advirtiendo de que al menos cinco fallos figuran en la categoría de "explotación detectada".
El fabricante de software Adobe también envió parches urgentes para fallos de seguridad en las líneas de productos InDesign y ColdFusion.
La actualización de Adobe InDesign, disponible para Windows y macOS, corrige un fallo de ejecución de código de gravedad crítica y otros 11 fallos de seguridad de memoria que causan problemas de fugas de memoria. Adobe atribuyó a Yonghui Han, de FortiGuard Labs de Fortinet, la notificación privada de los fallos.
También se publicó un segundo boletín de seguridad con parches para un trío de defectos de seguridad que afectan a las versiones 2023, 2021 y 2018 de Adobe ColdFusion.
"Estas actualizaciones resuelven vulnerabilidades críticas e importantes que podrían conducir a la ejecución arbitraria de código y a la omisión de funciones de seguridad", dijo Adobe, llamando especialmente la atención sobre CVE-2023-29300, un error de deserialización de datos no fiables con una puntuación de gravedad CVSS de 9,8 sobre 10. A principios de este año, Adobe reveló "ataques limitados" que explotaban una vulnerabilidad de día cero de ColdFusion.
Fuente: securityweek.com