Vulnerabilidad RCE en Office (Parchea!)

Se le ha encontrado una vulnerabilidad crítica en Microsoft Office cuyo origen es un componente que permite a los atacantes ejecutar código remoto (RCE) sin necesidad de que el usuario dé su consentimiento.

La vulnerabilidad es una corrupción de memoria en la característica Dynamic Data Exchange (DDE), y lleva presente en Microsoft Office desde hace 17 años. Puede ser ejecutada sobre todas las versiones de la suite publicadas desde entonces, incluso Office 365, y funciona sobre cualquier versión de Windows, incluyendo el más reciente Windows 10 Creators Update. Esta vulnerabilidad no está relacionada con Macro-less.

Descubierta por la empresa investigadora en seguridad Embedi, la vulnerabilidad abre la puerta a la ejecución de código en remoto, permitiendo a un atacante no autenticado ejecutar código malicioso sobre el sistema objetivo sin requerir de interacción con el usuario, solo necesitando que se abra un documento de Office malicioso específicamente diseñado que la explote. Identificada como con el código CVE-2017-11882, reside en el ejecutable EQNEDT32.EXE, un componente de Microsoft Office responsable de la inserción y la edición de ecuaciones en forma de objetos OLE dentro de los documentos.

El componente falla a la hora de manejar objetos de forma correcta en la memoria, obteniendo como resultado una corrupción que puede ser aprovechada por un atacante para ejecutar código malicioso en el contexto del usuario. Introducido en Microsoft Office 2000, el gigante de Redmond ha mantenido el ejecutable EQNEDT32.EXE con el fin de ofrecer una buena compatibilidad con documentos antiguos, algo que cobró aún más importancia tras la llegada de Microsoft Office 2007 y el nuevo formato OOXML (DOCX, XLSX… ).

Microsoft parcheó esta vulnerabilidad el martes, tras liberar su paquete mensual de actualizaciones de seguridad, así que sería conveniente su aplicación cuanto antes para eliminarla. Por otro lado, se puede reforzar la seguridad mediante la habilitación del sandbox de Microsoft Office, Vista Protegida, y la ejecución de los siguientes comandos que inhabilitan el registro del componente en el Registro de Windows:

reg add "HKLM\SOFTWARE\Microsoft\Office\Common\COM Compatibility\{0002CE02-0000-0000-C000-000000000046}" /v "Compatibility Flags" /t REG_DWORD /d 0x400

En caso de usar Office de 32 bits sobre un Windows de 64 bits, el comando sería el siguiente:

reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Office\Common\COM Compatibility\{0002CE02-0000-0000-C000-000000000046}" /v "Compatibility Flags" /t REG_DWORD /d 0x400

Fuente: The Hacker News