La vulnerabilidad, identificada como CVE-2021-40444, es un zero-day de ejecución remota de código incrustado en MSHTML, también conocido como el motor de navegación Trident que impulsa la versión de Windows de Internet Explorer, ya obsoleta.
Tiene una puntuación de 8,8 sobre diez en la escala CVSS y su explotación es limitada y dirigida, según una alerta de seguridad publicada por la empresa.
La explotación requiere que un atacante elabore un control ActiveX malicioso para que sea utilizado por un documento de Microsoft Office que hospede el motor de renderizado del navegador.
Los controles ActiveX son pequeños programas, o complementos, para Internet Explorer y otras aplicaciones de Windows que se utilizan para ampliar el conjunto de características y añadir más funcionalidad.
Una vez que el atacante ha escrito el control ActiveX malicioso, para explotar con éxito este fallo tendría que convencer a un usuario de que abra el archivo malicioso.
La vulnerabilidad fue detectada por primera vez por Mandiant y EXPMON, y Microsoft se abstuvo de revelar detalles adicionales de la explotación, así como la identidad de las víctimas explotadas por los ataques limitados y dirigidos.
La firma ha reproducido el ataque en las últimas suites Office 2019 y Office 365 en Windows 10. Los investigadores también dijeron que este exploit utiliza “fallas lógicas”, por lo que la explotación es perfectamente confiable y peligrosa.
Sin embargo, los usuarios cuyas cuentas están configuradas para tener menos derechos de usuario en el sistema no se verán tan afectados como los que conservan privilegios administrativos.
Hay un par de mitigaciones adicionales que Microsoft ha aconsejado a los usuarios que podrían evitar la explotación, incluyendo la apertura de todos los documentos de Internet en Vista Protegida o a través de Application Guard. Ambos métodos evitarán el ataque actual.