El paquete de productos de Microsoft Office contenía cuatro vulnerabilidades de seguridad presentes en la herramienta de gráficos que permitían la elaboración de documentos de Excel maliciosos, como ha descubierto la compañía de ciberseguridad Check Point.
Los cuatro fallos de seguridad en cuestión se encontraban presentes en MSGraph, un componente que se integra en Office para mostrar gráficos y diagramas, que se utilizaba habitualmente en productos como Excel, Office Online Server y Excel para OSX, según ha informado Check Point en un comunicado.
Las vulnerabilidades proceden de los errores de análisis que se cometen en código heredado de los formatos de archivo Excel95, por lo que la compañía cree que el problema podría llevar activo durante varios años.
Las brechas encontradas se pueden llegar a incrustar en la mayoría de los documentos de Office conocidos, aunque el vector de ataque más sencillo es a través de un Excel malicioso distribuido a través de un enlace de descarga o un correo electrónico.
Dado que toda la ‘suite’ de Office tiene la capacidad de incrustar archivos de Excel, se amplía el vector de ataque, haciendo posible la ejecución de un programa de este tipo en casi cualquier ‘software’ de Office, incluyendo Word, Outlook y otros.
Tras la detección del error, Check Point Research comunicó a Microsoft los resultados de su investigación y la empresa parcheó las vulnerabilidades de seguridad (CVE-2021-31174, CVE-2021-31178, CVE-2021-31179). El cuarto parche se publicó este martes, clasificado como CVE-2021-31939.
«El código heredado sigue siendo un eslabón débil en la cadena de seguridad, especialmente en un ‘software’ complejo como Microsoft Office», ha explicado el director técnico de Check Point Software para España y Portugal, Eusebio Nieva.
Asimismo, la compañía de ciberseguridad ha recordado la importancia de que los usuarios tengan sus dispositivos, como los ordenadores con Windows, actualizados para evitar la exposición a vulnerabilidades ya parcheadas.