Comenzar Agenda una demo

Los 3 principales exploits de Microsoft Office que los hackers están usando en 2025 y cómo detenerlos

1 de abril de 2025 | Asesor, Blog Los 3 principales exploits de Microsoft Office que los hackers están usando en 2025 y cómo detenerlos

En 2025, los hackers siguen explotando archivos de Office, lo que los convierte en un importante vector de ataque para la ciberdelincuencia. Comprender estas vulnerabilidades le ayudará a proteger los datos, dispositivos, redes y reputación de su organización. Aquí presentamos las tres principales vulnerabilidades de seguridad de Microsoft Office en uso activo y las estrategias clave para defenderse.

1. Phishing mediante documentos maliciosos de Office

Los ataques de phishing que involucran archivos de Microsoft Office siguen siendo frecuentes debido a su ubicuidad y eficacia. Los atacantes envían facturas o informes falsos como archivos de Word o Excel para engañar a los destinatarios y que abran archivos adjuntos maliciosos. Muchas veces, estos correos electrónicos provienen de alguien conocido; su correo electrónico ha sido comprometido.Compromiso de correo electrónico comercial). A los usuarios que abren el archivo adjunto se les solicita que habiliten macros o hagan clic en enlaces. Esto lleva a sitios web falsos que roban credenciales o tokens de sesiónOtro vector de ataque envía un código QR como si fuera un certificado de regalo. Al escanearlo, los usuarios visitan un sitio web malicioso que roba sus credenciales, tokens de sesión o inicia la descarga de malware.

Estrategias de defensa:

  • Entrenamiento de Usuario:Eduque a los empleados sobre cómo reconocer los intentos de phishing y los peligros de habilitar macros o seguir enlaces no solicitados.
  • Utilice puertas de enlace de seguridad de correo electrónico con espacio aislado para archivos adjuntos:Implemente una solución de seguridad de correo electrónico que analiza los archivos adjuntos en un entorno sandbox Antes de la entrega. Esto aísla y detona archivos de Office potencialmente maliciosos para observar su comportamiento de forma segura.
  • Prevenir el robo de tokens (estrategia avanzada): Este reddit hilo Proporciona medidas costosas (pero más fáciles) y menos costosas (pero complicadas) para combatir el robo de tokens de sesión en O365.

Las medidas mencionadas se centran en explotar a los usuarios finales mediante ingeniería social. Se aprovechan de la ubicuidad del correo electrónico, los archivos adjuntos y las relaciones de confianza con terceros conocidos. Existe otro vector de ataque: la explotación de parches faltantes en los sistemas de los usuarios finales. Microsoft publicó parches para estas vulnerabilidades, pero muchos sistemas siguen sin parchearse.

2. CVE-2017-11882: La vulnerabilidad del editor de ecuaciones persistentes

Los hackers siguen explotando la vulnerabilidad CVE-2017-11882 en versiones obsoletas de Office, a pesar de los parches publicados en 2017. La falla del Editor de Ecuaciones permite a los atacantes ejecutar código cuando los usuarios abren documentos maliciosos sin necesidad de hacer clic. Los exploits que aprovechan esta vulnerabilidad suelen distribuir malware como... Agent Tesla, un ladrón de información Troyano de acceso remoto (RAT).

Estrategias de defensa:

  • Deshabilitar macros de forma predeterminada: La mayoría del malware de Office se basa en macros de VBA. Configure la directiva de grupo o use la configuración del Centro de confianza de Office para deshabilitar todas las macros, especialmente las que muestran notificaciones.
  • Análisis de Sandbox:Como se describió anteriormente, el sandboxing y la detonación de archivos adjuntos es una estrategia eficaz para analizar de forma segura documentos y enlaces sospechosos.​
  • Implementar el filtrado de tipos de archivos adjuntos:Además de deshabilitar las macros, siempre debes bloquear o poner en cuarentena los tipos de archivos adjuntos riesgosos como .docm, .xlsm, .hta y .js en la puerta de enlace o punto final del correo electrónico. Solo se permiten formatos de uso común como .docx or .xlsx que no admiten macros integradas.
  • Gestión de parches:Asegúrese de que todas las instalaciones de Microsoft Office estén actualizadas con los últimos parches de seguridad.
  • Eliminar el acceso administrativo e implementar Endpoint Protection: Eliminando Derechos Administrativos del uso diario evita que ciertos exploits exploten un dispositivo. Agregue una protección robusta Detección y respuesta de punto final (EDR) Soluciones para identificar y bloquear intentos de explotación.

Dejando de lado los exploits de archivos adjuntos más comunes, el tercer exploit utilizado activamente en 3 solo requiere que el usuario final haga clic en un archivo malicioso.

3. CVE-2022-30190: El exploit “Follina”

La vulnerabilidad "Follina" (CVE-2022-30190) explota la Herramienta de Diagnóstico de Soporte Técnico de Microsoft (MSDT) mediante documentos de Office especialmente diseñados. Los atacantes insertan URL maliciosas en los documentos de Office. Al abrirlos, las URL activan la ejecución remota de código sin macros. Este exploit se ha utilizado para implementar diversas cargas útiles, incluidas las ocultas mediante... esteganografía—ocultar código malicioso dentro de archivos de imagen.

Estrategias de defensa:

  • Eliminación de componentes:Deshabilite o elimine todos los componentes innecesarios de sus implementaciones de Windows, incluido el Editor de ecuaciones mencionado anteriormente, y restrinja el uso de Protocolo URL MSDT para evitar su explotación A través de documentos de Office.
Ejecute cmd como administrador y escriba: reg delete HKEY_CLASSES_ROOTms-msdt /f
  • Actualizaciones de seguridadLos sistemas completamente parcheados ya no pueden ser explotados por esta vulnerabilidad de Follina. Asegúrese de que su solución de administración de parches incluya parches de Microsoft Office (debe estar configurada para hacerlo) además de parches del sistema operativo.
  • Utilice reglas de reducción de superficie de ataque (ASR):Si está utilizando Microsoft Defender para Endpoint, habilite Reglas de ASR para impedir que Office inicie procesos secundarios como msdt.exe. Regla recomendada: "Bloquear todas las aplicaciones de Office para que no creen procesos secundarios".

    Configurar a través de Intune, Política de grupo o PowerShell:

    Establecer-MpPreference -Reglas de reducción de superficie de ataque_Ids D4F940AB-401B-4EFC-AADC-AD5F3C50688A -Reglas de reducción de superficie de ataque_Acciones habilitadas

Conclusión

La explotación continua de las vulnerabilidades de Microsoft Office subraya la necesidad de contar con medidas de seguridad proactivas continuas. Actualizar el software periódicamente, capacitar a los usuarios e implementar mecanismos avanzados de detección de amenazas son pasos esenciales para defenderse de estas amenazas persistentes. Al mantenerse informadas sobre las técnicas de explotación actuales y mantener sólidas prácticas de ciberseguridad, las organizaciones pueden mitigar los riesgos asociados con los documentos maliciosos de Office.

¡Asegure su negocio con CyberHoot hoy!


Inscríbase ahora

¿Aún no estás listo para registrarte, pero quieres saber más? Asiste a nuestro seminario web mensual para ver una demostración de CyberHoot, hacer preguntas y descubrir las novedades. Haz clic en el recuadro verde de abajo para registrarte. ¡Lo presiento!


Registro de seminarios web

 Lectura adicional:

Últimos Blogs

Manténgase actualizado con lo último información de seguridad

Descubra y comparta las últimas tendencias, consejos y mejores prácticas en ciberseguridad, junto con nuevas amenazas a las que debe prestar atención.

Microsoft integra claves de acceso en Windows: ¿es este el comienzo de un futuro sin contraseñas?
11 de noviembre de 2025 | Blog

Microsoft integra claves de acceso en Windows: ¿es este el comienzo de un futuro sin contraseñas?

Seamos sinceros, ¿quién no ha cambiado su contraseña al menos una vez este mes? Durante décadas, las contraseñas han sido nuestra...

Leer más
Cuando te conviertes en hacker: Cómo los ataques modernos te engañan para que te hackees a ti mismo.
4 de noviembre de 2025 | Blog

Cuando te conviertes en hacker: Cómo los ataques modernos te engañan para que te hackees a ti mismo.

En un giro que se aleja de la narrativa habitual de "hacker conoce a víctima", está surgiendo un nuevo tipo de ciberataque. Uno de ellos...

Leer más
Eliminación de dominios: Cómo eliminar dominios y sitios web fraudulentos y con errores tipográficos
28 de octubre de 2025 | Blog

Eliminación de dominios: Cómo eliminar dominios y sitios web fraudulentos y con errores tipográficos

En ciberseguridad, no todos los ataques se realizan mediante malware sofisticado o exploits de día cero. Algunos de los más efectivos...

Leer más
Comenzar Todos los Artículos