Lo + Nuevo
Tag

vulnerabilidad

Visitando

Microsoft advierte sobre un nuevo grave fallo de día cero explotada activamente que afecta a Internet Explorer y que se utiliza para secuestrar sistemas Windows vulnerables al aprovechar documentos de Office dañinos. La vulnerabilidad funciona en Office 2019 y Office 365 en Windows 10. De momento no hay parche disponible, pero si algunas mitigaciones como abrir documento vista protegida o deshabilitar componente ActiveX.

Nuevo ataque 0-day dirigido a usuarios de Windows con documentos de Microsoft Office


Rastreado como CVE-2021-40444 (puntuación de gravedad CVSS: 8.8), la falla de ejecución remota de código tiene sus raíces en MSHTML (también conocido como Trident), un motor de navegador patentado para Internet Explorer ahora descontinuado y que se usa en Office para representar contenido web en su interior. Documentos de Word, Excel y PowerPoint.

“Microsoft está investigando informes de una vulnerabilidad de ejecución remota de código en MSHTML que afecta a Microsoft Windows. Microsoft está al tanto de ataques dirigidos que intentan explotar esta vulnerabilidad mediante el uso de documentos de Microsoft Office especialmente diseñados”,ha dicho Microsoft


“Un atacante podría crear un control ActiveX malicioso para ser utilizado por un documento de Microsoft Office que aloja el motor de procesamiento del navegador. El atacante tendría que convencer al usuario de que abra el documento malicioso. Los usuarios cuyas cuentas estén configuradas para tener menos derechos de usuario en el sistema podría verse menos afectado que los usuarios que operan con derechos de usuario administrativo “, agregó.

El fabricante de Windows dio crédito a los investigadores de EXPMON y Mandiant por informar sobre la falla, aunque la compañía no reveló detalles adicionales sobre la naturaleza de los ataques, la identidad de los adversarios que explotan este día cero o sus objetivos a la luz de los ataques del mundo real. .

EXPMON, en un tweet, señaló que encontró la vulnerabilidad después de detectar un “ataque de día cero altamente sofisticado” dirigido a los usuarios de Microsoft Office, y agregó que transmitió sus hallazgos a Microsoft el domingo. “El exploit utiliza fallas lógicas, por lo que la explotación es perfectamente confiable (y peligrosa)”, dijeron los investigadores de EXPMON.

Sin embargo, vale la pena señalar que el ataque actual se puede evitar si Microsoft Office se ejecuta con configuraciones predeterminadas, donde los documentos descargados de la web se abren en Vista protegida o Application Guard for Office, que está diseñado para evitar que archivos no confiables accedan a recursos confiables. en el sistema comprometido.

Mitigaciones


Se espera que Microsoft, una vez finalizada la investigación, publique una actualización de seguridad como parte de su ciclo de lanzamiento mensual del martes de parches o emita un parche fuera de banda “según las necesidades del cliente”. Mientras tanto, el fabricante de Windows insta a los usuarios y organizaciones a deshabilitar todos los controles ActiveX en Internet Explorer para mitigar cualquier posible ataque.  

Deshabilitar ActiveX 

Deshabilitar la instalación de todos los controles ActiveX en Internet Explorer mitiga este ataque. Esto se puede lograr para todos los sitios actualizando el registro. Los controles ActiveX instalados anteriormente seguirán ejecutándose, pero no exponen esta vulnerabilidad.


Para deshabilitar los controles ActiveX en un sistema individual:

     Para deshabilitar la instalación de controles ActiveX en Internet Explorer en todas las zonas, pegue lo siguiente en un archivo de texto y guárdelo con la extensión de archivo .reg:

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0]
“1001”=dword:00000003
“1004”=dword:00000003

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\1]
“1001”=dword:00000003
“1004”=dword:00000003

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\2]
“1001”=dword:00000003
“1004”=dword:00000003

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3]
“1001”=dword:00000003
“1004”=dword:00000003

Microsoft está investigando informes de una vulnerabilidad de ejecución remota de código en MSHTML que afecta a Microsoft Windows. Microsoft tiene conocimiento de los ataques dirigidos que intentan aprovechar esta vulnerabilidad mediante el uso de documentos de Microsoft Office especialmente diseñados.

Un atacante podría crear un control ActiveX malicioso para ser utilizado por un documento de Microsoft Office que aloja el motor de renderizado del navegador. El atacante tendría que convencer al usuario de que abra el documento malicioso. Los usuarios cuyas cuentas están configuradas para tener menos derechos de usuario en el sistema podrían verse menos afectados que los usuarios que operan con derechos de usuario administrativos.

Microsoft Defender Antivirus y Microsoft Defender for Endpoint proporcionan detección y protección para la vulnerabilidad conocida. Los clientes deben mantener actualizados los productos antimalware. Los clientes que utilizan actualizaciones automáticas no necesitan realizar ninguna acción adicional. Los clientes empresariales que administran actualizaciones deben seleccionar la compilación de detección 1.349.22.0 o más reciente e implementarla en sus entornos. Las alertas de Microsoft Defender para Endpoint se mostrarán como: “Ejecución sospechosa de archivo Cpl”.

Una vez finalizada esta investigación, Microsoft tomará las medidas adecuadas para ayudar a proteger a nuestros clientes. Esto puede incluir proporcionar una actualización de seguridad a través de nuestro proceso de publicación mensual o proporcionar una actualización de seguridad fuera de ciclo, según las necesidades del cliente.

Fuente (s) :