Vulnerabilidad Crítica RCE en Microsoft 365 y Excel (CVE-2025-60727)

Microsoft ha revelado una vulnerabilidad crítica de Ejecución Remota de Código (RCE) en su ecosistema de Office, la cual puede ser explotada a través de archivos de Excel maliciosos. Este fallo, rastreado como CVE-2025-60727, afecta a múltiples versiones de Microsoft Office y subraya el riesgo continuo que representan los ataques basados en documentos, comúnmente utilizados en campañas de phishing. Aunque actualmente no hay informes de explotación activa, el riesgo es elevado.


Detalles Técnicos de la Vulnerabilidad

La vulnerabilidad ha sido clasificada como un problema de lectura fuera de límites (Out-of-bounds read – CWE-125). El fallo radica en la forma en que Microsoft Excel procesa estructuras de archivos especialmente diseñadas.

Específicamente, existe una validación insuficiente de los valores de longitud (length) y desplazamiento (offset) durante el análisis (parsing) del archivo de Excel. Cuando se abre un documento malicioso, la aplicación lee memoria más allá de los límites del búfer asignado. Este acceso indebido a la memoria permite a los atacantes controlar el flujo de ejecución del proceso y, en última instancia, ejecutar instrucciones maliciosas en el sistema objetivo.


Productos Afectados
  • Microsoft 365 Apps
  • Excel 2016
  • Office 2019
  • Office LTSC 2021 y Office LTSC 2024
  • Office Online Server

Vector de Ataque e Impacto

La explotación de la vulnerabilidad CVE-2025-60727 requiere interacción del usuario, es decir, la víctima debe abrir el archivo Excel modificado maliciosamente. Sin embargo, no requiere autenticación previa ni privilegios elevados, lo que lo convierte en un vector perfecto para ataques de ingeniería social e spear-phishing.

Por ejemplo, un actor de amenazas podría enviar un correo electrónico suplantando una factura o reporte financiero con el Excel adjunto (o enlazado). Al abrir el archivo, la vulnerabilidad se activa y el código se ejecuta en segundo plano.


Impacto

El atacante obtiene el mismo nivel de acceso que el usuario actual. Esto puede derivar en:

  • Robo y exfiltración de datos.
  • Instalación de malware (Ransomware, RATs, infostealers).
  • Creación de mecanismos de persistencia.
  • Uso del equipo comprometido como punto de apoyo (foothold) para movimiento lateral dentro de redes corporativas.

Detección y Threat Hunting (Para Equipos SOC)

La detección temprana de intentos de explotación dependerá de la monitorización del comportamiento del proceso de Excel (excel.exe). Los equipos de seguridad deben estar alerta a:

  • Creación de procesos secundarios anómalos: Excel lanzando intérpretes de comandos o motores de scripts (cmd.exe, powershell.exe, wscript.exe, etc.).
  • Conexiones de red sospechosas: Conexiones salientes iniciadas por Excel inmediatamente después de abrir un documento.
  • Inestabilidad del sistema: Generación atípica de informes de fallos (crash reports) o violaciones de acceso (access violations) relacionados con Excel al procesar archivos.

Mitigación y Recomendaciones

Microsoft ya ha liberado parches de seguridad para abordar esta vulnerabilidad. Las organizaciones deben adoptar las siguientes medidas de forma prioritaria:

  • Aplicar Parches Inmediatamente: Mantener actualizadas las aplicaciones de Microsoft 365 a través del canal Click-to-Run e implementar las actualizaciones de seguridad más recientes para las versiones standalone de Office.
  • Reforzar la Vista Protegida (Protected View): Asegurarse de que esta característica esté habilitada y aplicada obligatoriamente para todos los archivos provenientes de fuentes externas o de Internet.
  • Bloqueo de Contenido Externo: Bloquear macros y la ejecución de contenido dinámico externo por defecto.
  • Reglas ASR (Attack Surface Reduction): Habilitar reglas de reducción de superficie de ataque en los endpoints, como bloquear la creación de procesos secundarios desde aplicaciones de Office.
  • Filtrado de Correo (SEG): Fortalecer las políticas en los Secure Email Gateways para restringir archivos Excel de fuentes no confiables o bloquear archivos adjuntos malformados.

Related Post