Recientemente Microsoft arregló tres vulnerabilidades de día cero en Windows que fueron explotadas activamente por atacantes, ahora una nueva vulnerabilidad de día cero fue revelada afectando a todos los sistemas operativos excepto Windows Server 2003.

Microsoft reparó termporalmente el hallazgo de seguridad y confirmó que fue utilizado para objetivos limitados utilizando documentos maliciosos enviados como adjuntos de Power Point.

De acuerdo con el Aviso de Seguridad de Microsoft, publicado el jueves, la vulnerabilidad de día cero reside dentro del código del sitema operativo que maneja los objetos de enlace embebidos (Object Linking and Embedding, OLE). La tecnología OLE es comunmente utilizada por la paquetería de Microsoft Office para incluir datos de, por ejemplo, una hoja de Excel en un documento de Word.

La vulnerabilidad (denominada como CVE-2014-6352) se activa cuando un usuario abre un archivo tipo PowerPoint que contiene un objeto malicioso OLE. Por ahora sólo se utilizan archivos PowerPoint para los ataques, aunque todo archivo Office podría ser utilizado para el mismo propósito.

"La vulnerabilidad podrá permitir ejecución de código remoto si un usuario abre una archivo corrupto de la paquetería de Microsoft Office que contenga un objeto OLE. El atacante que exitosamente haya utilizado la vulnerabilidad podrá ganar los mismos permisos que el usuario que ejecutó el archivo", explicó el asesor.

Al ganar los mismos permisos que el usuario autenticado, un atacante podrá infectar la computadora de la víctima instalando otro programa malicioso en él. De acuerdo con Microsoft, algunos ataques que comprometen cuentas sin los permisos del administrador podrían tener menos riesgo.

Microsoft liberó un paquete "OLE packager Shim Workaround" que detiene los ataques a PowerPoint pero que no es capaz de detener otros ataques que también usan esta vulnerabilidad. De hecho, el paquete no puede utilizarse en ediciones de 64-bits de PowerPoint en arquitecturas x64 para Windows 8 y Windows 8.1.

Microsoft también ha llamado a sus usuarios a poner atención a los anuncios de Control de Usuarios (UAC), es decir, alertas pop up que solicitan autorización antes de que el sistema operativo permita ejecutar tareas que podrían dañar al usuario una vez iniciadas. Sin embargo, los usuarios muchas veces las ven como inconvenientes y las toman como poco importantes.

"En ataques observados, el UAC despliega un mensaje o una alerta dependiendo del usuario actual, antes de que el exploit dentro de un archivo sea ejecutado", declararon de consejeros de Microsoft.

Redmond no mencionó alguna actualización para la vulnerabilidad de día cero, tampoco si estará listo un parche para la actualización de noviembre.

Los primeros días de este mes, Microsoft liberó ocho boletines de seguridad como parte de su actualización de parches mensuales, arreglando tres hallazgos tipo día cero al mismo tiempo. Uno de ellos (CVE-2014-4114) fue descubierto por colaboradores de iSight para todas las versiones soportadas de Microsoft Windows y Windows Server 2008 y 2012 que ha sido utilizadad en el ciberataque Sandworm.