Microsoft ha informado esta madrugada de una vulnerabilidad en algunos de sus sistemas que se podría utilizar para la ejecución de software malicioso. El problema afecta a Microsoft Windows Vista, Windows Server 2008, Microsoft Lync, Microsoft Office 2003 y Microsoft Office 2010. Las versiones más actuales de Windows y Office no se ven afectadas por el problema.
La empresa ha reconocido que "ha tenido conocimiento de ataques coordinados" y que está investigando el asunto. El error de los sistemas de Microsoft reside en el código del procesador gráfico que se encarga del manejo de las imágenes TIFF.
Microsoft ha aclarado que cualquier explotación de la vulnerabilidad por parte de un atacante requiere la interacción con el usuario. Por ello recomiendan aplicar una configuración más restringida que "no corrige el problema pero bloqueará vías de ataque conocidas mientras no esté disponible una actualización de seguridad". Esta configuración pasa por desactivar el códec TIFF, instalar la utilidad EMET y activar el firewall del sistema.
La mayoría de los ataques identificados se han realizado a través de emails que piden a las víctimas potenciales que abran un documento de Word. Si el archivo adjunto se abre o previsualiza, este intenta explotar la vulnerabilidad utilizando una imagen TIFF con código malicioso. El manager de seguridad de la compañía, Dustin Childs, señaló en un mensaje en el blog de seguridad de Microsoft que "un atacante que haya explotado la vulnerabilidad con éxito podría ganar el mismo acceso que un usuario logueado".
Los posibles hackers que intenten utilizar esta vía de entrada no tienen manera de forzar al usuario a ejecutar el contenido malicioso, como comenta Childs: "En vez de eso, el atacante tendría que convencer a los usuarios de que interactúen, normalmente haciendo clic en el enlace de un email o en un mensaje de un chat". Microsoft también advierte que la vulnerabilidad podría implementarse en imágenes dentro del contenido de una web.
Microsoft ha asegurado que tomará las medidas necesarias para paliar el problema "incluyendo el lanzamiento de una actualización de seguridad" a finales de este mes, o bien "lanzando una actualización fuera del ciclo mensual, según las necesidades de nuestros clientes".
