Recientemente, Talos, el grupo de inteligencia de Cisco, ha revelado detalles sobre una vulnerabilidad alta encontrada en Microsoft Excel, una herramienta ampliamente utilizada en la gestión y análisis de datos.
Identificada como CVE-2023-36041, con una puntuación CVSS de 7.8, esta vulnerabilidad reside en el procesamiento del atributo ElementType dentro de Microsoft Office Professional Plus 2019 Excel.
Para explotar esta vulnerabilidad, un atacante necesitaría persuadir al usuario objetivo para que abra una hoja de cálculo de Excel diseñada. Al abrir dicho archivo malicioso, el atacante podría tomar el control del sistema del usuario, lo que podría resultar en el robo de datos, la instalación de malware o incluso comprometer el sistema.
Microsoft ha alertado sobre las graves implicaciones de esta vulnerabilidad, ya que su explotación exitosa podría otorgar al atacante privilegios significativos, incluyendo la capacidad de manipular datos en el sistema afectado. Esto representa una amenaza considerable tanto para organizaciones como para individuos.
Los expertos de Cisco Talos explicaron la falla de manera técnica, indicando que la des-asignación de la estructura relacionada con HtmlPivotTableInfo ocurre debido al elemento ElementType con formato incorrecto. Este mal funcionamiento se debe a que el AttributeType dentro de ElementType es inconsistente con los sub-elementos definidos en la documentación del formato de archivo. Con una manipulación estratégica del heap, un atacante podría controlar completamente esta vulnerabilidad, causando una corrupción más extensa de la memoria e incluso permitiendo la ejecución de código arbitrario.
Versiones afectadas
- Microsoft Office Professional Plus 2019 Excel versión 2307 build 16626.20170
Solución
- Microsoft solventa esta vulnerabilidad en las actualizaciones de Patch Tuesday de noviembre de 2023.
Recomendaciones
- Instalar la última versión de Microsoft Office Professional Plus 2019 Excel.
- Evitar abrir archivos Excel sospechosos, especialmente aquellos recibidos de fuentes desconocidas.
- Utilizar firewalls de próxima generación y sistemas de detección/prevención de intrusiones (IDS/IPS) para monitorear el tráfico de red en busca de signos de actividad maliciosa.
- Actualizar periódicamente el software y los sistemas operativos para abordar vulnerabilidades que podrían ser aprovechadas por los atacantes.
- Concientizar a sus colaboradores sobre las mejores prácticas de ciberseguridad, incluido el reconocimiento de intentos de phishing y la precaución al hacer clic en enlaces desconocidos.
Referencias
- https://securityonline.info/details-released-for-microsoft-excel-rce-cve-2023-36041-vulnerability/?expand_article=1
- https://www.incibe.es/incibe-cert/alerta-temprana/vulnerabilidades/cve-2023-36041
- https://www.talosintelligence.com/vulnerability_reports/TALOS-2023-1835
- https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-36041
- https://nvd.nist.gov/vuln/detail/CVE-2023-36041