Peligrosa vulnerabilidad sin parche afecta a Microsoft Word

Video on línea Word - Vulnerabilidad

Expertos en seguridad informática de la firma Cymulate, han descubierto una nueva vulnerabilidad, la cual aún se encuentra sin parche, y que afecta a Microsoft Word, desde su versión 2016 y anteriores; este fallo importante puede permitir a los cibercriminales añadir código malicioso a un documento, e infectar al ordenador con cualquier tipo de malware e incluso ransomware, sin levantar ninguna alerta de seguridad por parte de la aplicación, lo que hace de este bug algo realmente peligroso. 

La Vulnerabilidad

La vulnerabilidad se basa en el código XML de la funcionalidad de Word llamada “Video en línea”, la cual permite a los usuarios agregar enlaces directos de videos a un documentos y reproducirlos en el mismo.

Al agregar un video en línea en word, la aplicación genera automáticamente código html / javascript, en el archivo llamado document.xml, el cual apunta hacia el video linkeado al documento, y se ejecuta cuando el usuario da click sobre él.

Cambiando la extensión del archivo word a .zip, el atacante es capaz de acceder al archivo document.xml, y reemplazar el html generado por defecto, por un código malicioso.



De esta manera el atacante engaña a la víctima para que esta reproduzca el video, y así infectarlo sin que se de cuenta, ya que el código se ejecuta en segundo plano, sin levantar ninguna alerta.

Video demostración: