Los investigadores de seguridad informática de la firma Votiro han revelado que los scripts de cifrado que minan criptomonedas a través del código JavaScript pueden ser ejecutados también dentro de los archivos de Microsoft Word.
¿Es posible minar criptomonedas mediante Word?
La vulnerabilidad está impulsada por una característica que ha sido incorporada en versiones recientes de Word, que les da la posibilidad a los usuarios de incrustar videos de Internet dentro de sus documentos sin necesidad de añadir un video directamente en el documento. De esta forma, cuando los usuarios copien y peguen el enlace dentro de una ventana emergente de Word, al video se mostrará en el documento la próxima vez que lo abran.
Sin embargo, los investigadores de la firma israelí Votiro han revelado que los hackers podrían aprovechar esta función de incrustación de video para agregar scripts de minería y minar Monero sin que el usuario se entere. En este sentido, el investigador Amit Dori, de Votiro, afirma que esto es posible gracias a que Word permite que sea insertado código iframe de cualquier sitio web, sin validar si se trata o no de un video.
Además, Dori asegura que la ventana emergente donde se reproduce este video no es otra cosa más que una ventana de Internet Explorer. Para el usuario esta situación es transparente, debido a que la ventana no incluye el típico marco de ventana del explorador.
Vulnerabilidad al phishing
Un hacker podría aprovechar esta vulnerabilidad en Word al insertar un video que esté subido a su servidor en un documento Word, y cuando la víctima lo abra, Internet Explorer ejecutaría el código minero desde el servidor del hacker.
Sin embargo, el informe de Votiro afirma que lo grave de este asunto no es que los hackers puedan minar criptomonedas a través de Word, ya que en ese caso, el video debe ser reproducido por mucho tiempo para que el hacker obtuviese algún beneficio. En concreto, el mayor problema es que esta vulnerabilidad puede abrir la puerta a los ataques de phishing.
Por ejemplo, el hacker tendría la capacidad de mostrar versiones falsas de sitios web oficiales para conseguir credenciales y datos privados del usuario, como por ejemplo, abrir una página de inicio similar a la de Office 365 y solicitar el usuario y la contraseña de la persona. La compañía ha notificado el problema a Microsoft, sin embargo, Dori reveló que no se trata de un problema de seguridad grave, ya que incluso algunos antivirus lo detectan.
