Los ciberdelincuentes están lanzando ataques de “día cero” –o dirigidos contra vulnerabilidades aún no parcheadas- contra una brecha en el popular programa de hojas de cálculo Excel de Microsoft.

Los atacantes están utilizando la vulnerabilidad de Excel para secuestrar sistemas específicos en Asia, muchos de ellos de oficinas gubernamentales y corporaciones de alto nivel, según ha informado Vincent Weafer, vicepresidente del grupo de respuesta de seguridad de Symantec.

La vulnerabilidad descubierta en Excel afecta a todas las versiones soportadas por Microsoft de este programa, incluida la más nueva (el Excel de Office 2007 y Office 2008 para Mac).

“Se trata de un tipo de ataque muy similar al recientemente detectado contra Adobe Reader en el sentido de que se está utilizando contra objetivos específicos, de forma altamente selectiva”, ha señalado Weafer, quien asegura que los investigadores de Symantec descubrieron el código de ataque el lunes y ese mismo día comunicaron a Microsoft toda la información de que disponían al respecto.

Microsoft emitió ayer un comunicado de seguridad con más información respecto de la brecha, lo que generalmente constituye el paso previo a la emisión de un parche de seguridad para resolver el problema una vez éste se ha hecho público.

Por otra parte, la compañía ha emitido una actualización software para algunos usuarios Windows que cubre otra brecha en el software Windows AutoRun, sobre la que alertó hace un mes el CERT Coordination Center (CERT/CC) de la Universidad norteamericana Carnegie Mellon. Esta vulnerabilidad podía aprovecharse para lanzar automáticamente programas cuando los usuarios introducían DVD y dispositivos USB en sus PC.

 

Pc World (25-02-2009)