• Tweet

Microsoft advirtió la tarde del martes que una vulnerabilidad previamente conocida en su software de hoja de cálculo Excel para Windows y Mac OS X está siendo actualmente explotada por un ataque dirigido.

La falla afecta a versiones antiguas de Excel, incluyendo Microsoft Office Excel 2003 Service Pack 2, Microsoft Office Excel Viewer 2003, Microsoft Office Excel 2002, Microsoft Office Excel 2000, y Microsoft Excel 2004 para Mac, de acuerdo por lo declarado por el gigante de software en un aviso. Para que el ataque sea satisfactorio, la víctima tendría que abrir un archivo de Excel creado de forma malicioso. Un compromiso satisfactorio podría dar al atacante los mismos privilegios en el sistema que el usuario que abra el archivo.

“Tenemos actualmente equipos trabajando en una actualización de calidad apropiada para liberarla en el proceso de boletines programado o como una actualización ‘urgente’, dependiendo del impacto en los usuarios”, de acuerdo con lo declarado en el blog de Microsoft Security Response Center por Bill Sisk, miembro del equipo de comunicaciones de respuesta a seguridad. “Mientras el ataque parece ser dirigido, y no propagado, estamos monitoreando el problema y estamos trabajando con nuestros socios para ayudar a proteger a los usuarios”.

Las fallas en aplicaciones de productividad de Office han sido armas estándar para que los estafadores lleven a cabo ataques contra directores y ejecutivos de alto nivel. Mientras solo unas cuentas fallas de alto impacto fueron encontradas en Excel entre 2002 y 2006, al menos 13 fueron descubiertas en el 2007, de acuerdo a datos revelados por la Base de Datos Nacional de Vulnerabilidades. Las vulnerabilidades en Microsoft Office han sido utilizadas en espionaje industrial y en ataques a sistemas de gobierno.

Los usuarios de Microsoft Office Excel 2003 Service Pack 3, Microsoft Office Excel 2007, Microsoft Office Excel 2007 Service Pack 1, o Microsoft Excel 2008 para Mac no son afectados por la vulnerabilidad, de acuerdo al aviso de Microsoft. Además, los usuarios que hayan instalado el MOICE (Microsoft's Office Isolated Conversion Environment) son inmunes a los efectos de la vulnerabilidad, de acuerdo con el gigante de software.