Tecnología para los negocios - Vulnerabildades en IOs y Microsoft Office


Vulnerablidad Zero-Day en iOS

El Equipo de Respuesta a Incidentes del Centro Criptológico Nacional (CCN-CERT) ha publicado un aviso respecto a dos vulnerabilidades Zero-Day en la aplicación de correo nativa de iOS, MobileMail o, en su caso, Maild, que afectan a usuarios tanto en iPAD como en iPHONE, que podrían permitir a los atacantes la ejecución de código de forma remota a través del envío de un correo electrónico, especialmente diseñado, al buzón del usuario objetivo.

Estas vulnerabilidades no han recibido identificador CVE (Common Vulnerabilities and Exposures) ni se encuentran registradas en la base de datos del NIST (National Institute of Standards and Technology), por lo que no han sido analizadas ni cuentan con puntuación en base a la escala CVSS v3.

No obstante, teniendo en cuenta las evidencias de explotación activa y la ausencia de parche que las solucione, las vulnerabilidades han sido calificadas como críticas.

Recursos afectados

Todas las versiones de iOS a partir de la versión 6 son vulnerables, a excepción de iOS 13.4.5 beta 2 lanzada el pasado 15 de abril. No obstante, se desconoce a ciencia cierta si las versiones anteriores a iOS 6 también se ven afectadas, ya que las investigaciones se interrumpieron en esta.

Por el momento, aunque Apple está trabajando en solucionar la vulnerabilidad a la mayor celeridad, no existe parche disponible. En la versión iOS 13.4.5 beta 2, cuya versión estable aún no se encuentra disponible, se han corregido las vulnerabilidades.

Recomendaciones

Por el momento, el fabricante no ha publicado medidas de mitigación alternativas mientras se trabaja en un parche para solucionar la vulnerabilidad. No obstante, se recomienda:

  • Caso de ser estrictamente necesario el uso de correo electrónico en iPAD o iPHONE, por no disponer de otras alternativas, los usuarios deben prestar especial atención a los correos recibidos y no abrir aquellos que consideren sospechosos o inesperados
  • Si se dispone de aplicaciones de mensajería alternativas, se debe deshabilitar, temporalmente, la aplicación de correo nativa de iOS.
  • En ambos supuestos, aplicar el sentido común en cuanto a correos electrónicos sospechosos: no abrir, no responder, no cliquear en los enlaces que contengan.

Una vez se publique la solución a la vulnerabilidad mediante un parche o lanzamiento de nueva versión del sistema operativo, se deberá instalar, a la mayor brevedad posible, para evitar la exposición a ataques externos y la toma de control de los sistemas informáticos.

Vulnerabilidad en Microsoft Office

El CCN-CERT ha publicado un aviso sobre una actualización de seguridad para Microsoft Office.

Al margen de las habituales actualizaciones de seguridad mensuales de Microsoft, la compañía ha lanzado un aviso de seguridad ADV200004 que corrige vulnerabilidades de ejecución remota de código (RCE) en una librería de Autodesk FBX integrada en las aplicaciones de Microsoft Office y Paint 3D.

En concreto, Microsoft Office 2016, Microsoft 2019, Office 365 y Paint 3D utilizan esta librería.

Microsoft indica que abrir archivos FBX dañinos mediante aplicaciones de Office, podría conducir a la ejecución remota de código y que un atacante podría explotar con éxito estas vulnerabilidades para obtener los mismos derechos de usuario que el usuario local que abra el fichero.

Recursos afectados

  • Microsoft Office 2016
  • Microsoft Office 2019
  • Office 365
  • Paint 3D.

Solución a la vulnerabilidad y recomendaciones

Solo aplicar a productos domésticos y particulares, no aplica a productos oficiales y/o corporativos cuya responsabilidad es de los administradores de sistemas/aplicaciones.

Para solucionar la vulnerabilidad se deben instalar las últimas actualizaciones de seguridad proporcionadas por Microsoft.

  1. Para ello, los usuarios de Office deberán abrir cualquier aplicación de la suite ofimática, hacer clic en la opción de menú “Archivo” y posteriormente seleccionar “Cuenta”.
  2. Una vez abierta la página de la cuenta, a la derecha, aparecerá una sección titulada “Actualizaciones de Office” donde se deberá ejecutar “Opciones de actualización” >> “Actualizar ahora”.
  3. Una vez que las actualizaciones se descargan e instalan, se deberán reiniciar todas las aplicaciones de Office, asegurándose previamente de guardar los documentos que en ese momento puedan estar en uso.

Por último, siempre se recomienda encarecidamente a los usuarios (en productos particulares), apliquen los parches de seguridad en cuanto se encuentren disponibles, con el fin de evitar la exposición a ataques externos y la toma de control de los sistemas informáticos.

Siempre atento para no picar en los “anzuelos”

Referencias del documento:
Articulo refundido y modificado por la Subdelegación de Defensa en Navarra.
Artículo publicado en el Boletín de Concienciación del Mando Conjunto de Ciberdefensa.

Ministerio de defensa - Mando conjunto ciberdefensa
Mando Conjunto de Ciberdefensa Estado Mayor de la Defensa Ministerio de Defensa

Danos tu opinión

1 Estrella2 Estrellas3 Estrellas4 Estrellas5 Estrellas (No hay valoraciones)
Cargando...

¿Eres un proveedor de soluciones TIC y quieres aparecer en este portal?

¿Eres una empresa y no encuentras lo que estás buscando?


SUSCRÍBETE A NUESTRO BOLETÍN

Recibe, cada dos semanas, todas las novedades sobre las tecnologías de la información para empresas.