Tras años de parches y correcciones, Office continúa siendo atacado

Más de la mitad de los ataques contra las aplicaciones de Microsoft Office durante los seis primeros meses de 2009 fueron realizados contra programas que no fueron parcheados en más de cinco años. 
El informe Security Intelligence Report dado a conocer este lunes, que presenta  una revisión de seis meses de malware y las tendencias de ataques, Microsoft encontró que el 55.5 por ciento de los ataques fueron lanzados contra las aplicaciones de Office como Word, Excel y PowerPoint intentando explotar las instalaciones que no fueron actualizadas por completo, al menos desde junio de 2004 .

"La mayoría de estos ataques afectan a los usuarios de Office 2003 que no habían solicitado un paquete de servicio o actualización de seguridad desde el lanzamiento de la versión original de Office 2003 en octubre de 2003", dijo Microsoft en el informe. "Los usuarios que no mantienen al día, tanto sus instalaciones de programas de Office y sistemas operativos de Windows, con los paquetes de servicio y actualizaciones de seguridad, están en mayor riesgo de ataque". 

Los datos que la empresa recolecto de millones de máquinas que usan Windows de todo el mundo, también mostraron que los propietarios de estos equipos fueron mucho más propensos a tener actualizado el sistema operativo en ese tiempo, pero hicieron caso omiso a las actualizaciones para las aplicaciones de Office. 

.

Dada la tendencia actual de que los ataques se han enfocado más hacia las aplicaciones que al sistema operativo, este es un dato preocupante. Microsoft también descubrió que las vulnerabilidades atacadas en las aplicaciones de Office son bastante antiguas. Más de la mitad de los ataques tuvieron como objetivo  vulnerabilidades que fueron parcheados en 2006.

El más importante de ellos es la famosa vulnerabilidad MS06-027, una falla de ejecución remota de código en Microsoft Word, que la empresa resolvió en junio de 2006. La vulnerabilidad fue divulgada públicamente mucho antes de que una corrección estuviera disponible, y en el momento de la liberación del parche, existían explotaciones activas contra la falla. Ya han pasado casi tres años y medio desde entonces.

.