Microsoft advierte que la vulnerabilidad de día cero de Office puede llevar a una filtración de datos

Microsoft ha divulgado una vulnerabilidad de día cero de alta gravedad que afecta a varios productos de Office y 365 Enterprise, para los cuales aún se está desarrollando un parche.

La vulnerabilidad rastreada como CVE-2024-38200 es causada por una debilidad de divulgación de información que los hackers pueden explotar fácilmente para robar datos privados y protegidos de individuos u organizaciones, incluyendo el estado del sistema y datos del entorno o de configuración, el estado de la red y datos de configuración, o metadatos de conexión.

La vulnerabilidad de día cero (CVE-2024-38200) afecta a los siguientes productos:

• Microsoft Office 2016 (32 bits y 64 bits)

• Microsoft Office 2019 (32 bits y 64 bits)

• Microsoft Office LTSC 2021 (32 bits y 64 bits)

• Microsoft 365 Apps for Enterprise (32 bits y 64 bits)

Según la evaluación de explotabilidad de Microsoft, la probabilidad de explotar CVE-2024-38200 es “menos probable”, pero MITRE ha sugerido que las posibilidades de explotación para este tipo de debilidad son altas.

“En un escenario de ataque basado en la web, un atacante podría alojar un sitio web (o aprovechar un sitio web comprometido que acepte o aloje contenido proporcionado por el usuario) que contenga un archivo especialmente diseñado para explotar la vulnerabilidad”, explica el aviso de Microsoft.

“Sin embargo, un atacante no tendría forma de obligar al usuario a visitar el sitio web. En su lugar, un atacante tendría que convencer al usuario para que haga clic en un enlace, típicamente a través de un atractivo en un correo electrónico o mensaje de mensajería instantánea, y luego convencer al usuario para que abra el archivo especialmente diseñado.”

Actualmente, Microsoft está desarrollando actualizaciones de seguridad para abordar esta vulnerabilidad de día cero, pero aún no ha anunciado una fecha de lanzamiento.

Microsoft ha atribuido el descubrimiento de CVE-2024-38200 a Jim Rush, un consultor de seguridad en PrivSec Consulting, y Metin Yunus Kandemir, un miembro del Synack Red Team.

Más información sobre esta vulnerabilidad será proporcionada por Rush en su próxima charla en Defcon titulada “NTLM – The last ride”, Peter Jakowetz, Director General en PrivSec, le dijo a BleepingComputer.

“Habrá un análisis profundo sobre varios nuevos errores que divulgamos a Microsoft (incluyendo el eludir una solución a un CVE existente), algunas técnicas interesantes y útiles, combinando técnicas de múltiples clases de errores que resultan en algunos descubrimientos inesperados y algunos errores absolutamente cocinados. También descubriremos algunos valores predeterminados que simplemente no deberían existir en bibliotecas o aplicaciones sensatas, así como algunas lagunas evidentes en algunos de los controles de seguridad relacionados con NTLM de Microsoft”, explica Rush.

Además, Microsoft también está trabajando para abordar fallas de día cero que podrían obligar a software completamente actualizado a revertir a una versión anterior con vulnerabilidades conocidas y explotables.

A principios de esta semana, la compañía también anunció que está trabajando en corregir un bypass de Windows Smart App Control, SmartScreen que ha sido explotado en el mundo desde 2018.