Microsoft Excel (entendido tanto específicamente como a modo de genérico de hoja de cálculo), es una aplicación muy curiosa en el sentido de que, por lo que tengo comprobado, suele suscitar posiciones muy encontradas. Por una parte tiene una amplia legión de seguidores, entre los que me incluyo, y por otra una gran comunidad de personas que parecen haber desarrollado cierta alergia a este tipo de programas. No en vano, gran parte de la responsabilidad de que los ordenadores llegaran a los puestos de trabajo allá por el segundo lustro de los ochenta le corresponde a las hojas de cálculo.
En lo que sí que tienen que estar de acuerdo unos y otros es en que, con los años, han experimentado una constante evolución, que hace que a día de hoy cuenten con más funciones de las que la inmensa mayoría somos capaces de cuantificar (nótese la ironía). Algo que, claro, tiene una indeseada pero inevitable consecuencia: la proliferación de amenazas y problemas. Y es que, a más funciones, herramientas, etcétera, más superficie de exposición. A este respecto, Microsoft Excel brilla con luz propia.
Talos Intelligence, parte del grupo Cisco, informa hoy sobre una vulnerabilidad que afecta a la hoja de cálculo de Microsoft y que fue descubierta hace unos días por sus investigadores. Como dictan las políticas de actuación en estos casos, los expertos se pusieron en contacto con Microsoft que, al saber del problema, inició en colaboración con Talos las labores necesarias para solventar este problema de Excel. Y, dada la colaboración por parte de la empresa afectada, no han publicado información al respecto hasta la publicación de una actualización de seguridad que resuelva el problema.
Desde hoy la actualización ya está disponible disponible, por lo que es urgente que los usuarios de Microsoft Excel la descarguen y apliquen a la mayor brevedad. ¿Por qué? Porque la divulgación de los detalles técnicos de la misma hace que los atacantes puedan desarrollar rápidamente el malware necesario para intentar explotarla in the wild, antes de que todos los usuarios se actualicen, es decir, mientras que todavía estén expuestos a la amenaza.
La vulnerabilidad, identificada con el código CVE-2020-0901, y que afecta a algunas versiones de Excel, se aprovecha de la funcionalidad s_Schema que, frente a un archivo con un formato incorrecto específico (definido mediante html y xml), permitiría hacer un uso malicioso de la función use-after-free para ejecutar código malicioso de forma remota. La vía de difusión del malware que hipotéticamente podría emplear este agujero de seguridad sería, como es común, la difusión masiva de un documento, con la esperanza de que sea abierto por el máximo posible de destinatarios.
Para mitigar los riesgos, por una parte debemos asegurarnos de llevar al día las actualizaciones de Microsoft Excel. Es cierto que, en ocasiones, la notificación sobre las mismas aparece en el momento más inadecuado, pero postergarlas indefinidamente no es, ni remotamente, una buena idea. Y, claro, sospechar ante cualquier documento no esperado.
La entrada ¿Actualizaciones pendientes de Microsoft Excel? Hoy es el día es original de MuySeguridad. Seguridad informática.