El 14 de julio pasado, el Centro de Respuesta de Seguridad de Microsoft publicó un boletín de prensa donde hace pública una vulnerabilidad presente en la aplicación para hojas de cálculo, Office Excel.
El fallo de seguridad, identificado bajo CVE-2020-1240, corresponde a una ejecución remota de código que es posible debido a un manejo indebido de objetos en memoria. Con esto, un atacante puede ejecutar instrucciones arbitrarias bajo el contexto del usuario activo en sesión. En caso de que un usuario disponga de permisos de adminsitrador, dicho atacante puede tomar control del sistema afectado, y realizar acciones maliciosas como: instalar programas no autorizados, alterar datos sensibles y crear nuevos usuarios con altos privilegios.
La explotación de la vulnerabilidad requiere que un usuario tenga que abrir un archivo con una versión afectada de Microsoft Excel, un fichero especialmente manipulado; esto es, un ataque tipo client-side.
- Para un escenario de ataque por correo electrónico, un atacante podría aprovechar la vulnerabilidad al enviar el archivo especialmente diseñado al usuario y convencerlo de que abra el archivo.
- En un escenario de ataque basado en la web, un atacante podría alojar un sitio web (o aprovechar un sitio web comprometido que acepte o aloje contenido proporcionado por el usuario) que contenga un archivo especialmente diseñado para aprovechar la vulnerabilidad. Un atacante no tendría forma de obligar a los usuarios a visitar el sitio web.
Para remediar el fallo de seguridad, se disponen de dos vías para su ejecución:
- A través de la herramienta de actualizaciones de Windows.
- Directamente dentro de la aplicación de Office.
Referencia:
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-1240