GRAVE VULNERABILIDAD EN MICROSOFT WORD NO SOLUCIONADA HASTA EL PASADO 11 DE ABRIL DE 2017 (DESCUBIERTA EN JULIO DE 2016)

Un bug bastante peligroso encontrado en Microsoft Word permitía a un hacker tomar control de un ordenador sin dejar casi ningún rastro. El fallo fue solucionado este 11 de abril con las actualizaciones mensuales de seguridad, el problema es que antes de eso pasó meses siendo explotado de forma activa.

En julio de 2016, el consultor de seguridad Ryan Hanson encontró una debilidad en la forma en la que Word procesa los documentos en otros formatos diferentes al de Microsoft, esto permitía insertar un enlace a un software malicioso para tomar el control de un ordenador.

Hanson pasó varios meses combinando este fallo con otros para hacerlo más letal, y en octubre lo reportó a Microsoft. Un simple cambio en los ajustes de Word podía solucionarlo todo, pero si Microsoft le informaba esto a los usuarios también le estaría diciendo a los hackers cómo aprovecharse. La empresa no arregló el problema de inmediato aunque podía hacerlo porque aparentemente querían investigar más a fondo, ofrecer una mejor solución y no estaban al tanto de que nadie estuviese usando el método de Hanson para explotar el bug.

Sí estaba siendo explotado

Según diferentes investigadores de varias firmas de ciberseguridad que estudiaron los eventos y analizaron el código para realizar los ataques, el bug fue aprovechado para manipular el programa y espiar en figuras rusas, posiblemente en Ucrania, y además fue usado por ladrones para intentar robar millones en cuentas bancarias en linea en Australia y otros países.

Microsoft confirmó todos los eventos. En enero comenzaron los ataques mientras los de Redmond trabajaban en una solución. En marzo los investigadores de seguridad FireEye detectaron que software de hacking financiero estaba siendo distribuido usando el mismo bug en Word y también advirtieron a Microsoft.

En abril, McAfee detectó más ataques aprovechando el bug, contactaron a Microsoft y pasaron directo a publicarlo en su blog, como puede verse en:

https://securingtomorrow.mcafee.com/mcafee-labs/critical-office-zero-day-attacks-detected-wild/

con detalles suficientes para que otros hackers pudieran imitar los ataques. Para el 9 de abril un programa para explotar el fallo ya estaba siendo vendido en mercados negros entre cibercriminales. Y, finalmente, el 11 de abril, nueve meses después de que Hanson lo reportara a Microsoft, la empresa lanzó un parche.

Es interesante notar que Microsoft anunció varias medidas de seguridad nuevas en Office el pasado 5 de abril. Entre ellas se encuentran el bloqueo de enlaces a sitios web maliciosos dentro de Word, Excel y PowerPoint, varios días antes de lanzar el parche en las actualizaciones de seguridad. No se sabe exactamente cuantas personas habrían sido afectadas o cuanto dinero habría sido robado aprovechando el fallo.

Ver información original al respecto en Fuente:
https://www.genbeta.com/actualidad/una-vulnerabilidad-grave-en-word-fue-explotada-por-meses-mientras-microsoft-investigaba