Zero-Day crítico en MSHTML e incrustados en documentos de Microsoft Office (CVE-2021-40444)
Microsoft ha informado de una vulnerabilidad Zero-Day identificada como CVE-2021-40444, cuya explotación permite la ejecución remota de código malicioso en el sistema operativo de las víctimas. Y, lo que es peor, los ciberdelincuentes ya están utilizando la vulnerabilidad para atacar a los usuarios de Microsoft Office. Por lo tanto, Microsoft recomienda que los administradores de red Windows empleen una solución alternativa temporal hasta que la empresa pueda implementar un parche. Diferentes expertos lograron reproducir el ataque en la última versión de Office 2019/Office 365 en equipos con Windows 10 tratándose de un fallo lógico y realmente peligroso.
En esta ocasión, la vulnerabilidad CVE-2021-40444 se ha catalogado como importante con una severidad de 8.8 sobre 10 afectando a Windows Server desde 2008 hasta 2019, y a los sistemas operativos Windows desde la versión 8 a la 10. Los usuarios más vulnerables a este tipo de ataques son los que operan con cuentas con derechos administrativos.
La vulnerabilidad está en MSHTML, el motor de Internet Explorer y, aunque ya son pocos los que utilizan IE (incluso Microsoft recomienda encarecidamente cambiarse a su nuevo navegador, Edge), el viejo navegador sigue siendo parte de los sistemas operativos modernos y algunos otros programas utilizan este motor para gestionar el contenido web. En particular, las aplicaciones de Microsoft como Word y PowerPoint dependen de él.
Cómo explotan los atacantes la CVE-2021-40444
Los ataques aparecen como controles ActiveX maliciosos incrustados en documentos de Microsoft Office. Estos controles permiten la ejecución de código arbitrario; lo más probable es que los documentos lleguen como archivos adjuntos en mensajes de correo electrónico. Como con cualquier documento adjunto, los atacantes tienen que persuadir a las víctimas para que abran el archivo.
En teoría, Microsoft Office gestiona los documentos recibidos por Internet en Vista protegida o mediante Protección de aplicaciones para Office (Application Guard for Office), que pueden evitar un ataque de la CVE-2021-40444. Sin embargo, los usuarios podrían hacer clic en el botón de Habilitar edición sin pensarlo y desarmar los mecanismos de seguridad de Microsoft.
Cómo proteger a tu empresa contra la CVE-2021-40444
Microsoft ha prometido investigar y, si fuera necesario, liberar un parche oficial. Dicho esto, no esperamos que este parche esté listo antes del 14 de septiembre, el próximo martes de Parches. En circunstancias normales, la empresa no anunciaría una vulnerabilidad antes de liberar la solución, pero dado que los ciberdelincuentes ya están explotando la CVE-2021-40444, Microsoft recomienda emplear un método alternativo de inmediato.
Esta alternativa consiste en prohibir la instalación de nuevos controles ActiveX. Esto lo puedes hacer al añadir unas cuantas claves al registro del sistema. Microsoft proporciona información detallada sobre la vulnerabilidad, incluida una sección de alternativas (en la que también puedes aprender cómo deshabilitarla una vez que ya no la necesites). De acuerdo con Microsoft, esta alternativa no debería afectar el desempeño de los controles ActiveX que ya están instalados.
Por ahora, para evitar la explotación de la vulnerabilidad, se recomienda deshabilitar la función del Panel de "Vista Previa" en el explorador de Windows.
Deshabilitar la instalación de todos los controles ActiveX en Internet Explorer mitiga este ataque. Esto se puede lograr para todos los sitios configurando la Política de grupo utilizando su Editor de políticas de grupo local o actualizando el registro.
A continuación, se incluye un resumen de algunos enlaces útiles:
- Microsoft ha actualizado su aviso para informar cómo desactivar la vista previa en el Explorador de Windows y ofrecer una opción de directiva de grupo.
- La detección del exploit por parte de Defender utiliza un dominio codificado. Esto podría prevenir este actor de amenaza específico y esa campaña específica, pero no detecta completamente la amenaza en sí.
- Rich Warren ha señalado que la técnica RTF no es nueva y puede usarse como parte de otros trucos.
- Los investigadores están compartiendo nuevas técnicas de detección.
- Ya existe exploit y video explicativo.
- El investigador Kevin Beaumont está considerando publicar la prueba de conceptos no maliciosa "pop calc" para realizar mejores pruebas.
- Existen muchas reglas de detección de exploit.
- Post en Reddit sobre el tema.
- Joseph Roosen explica porqué no se necesitan macros
- Max Malyutin sugiere una detección manual
- Rich Warren ha desarrollado un video y una PoC
- Rich Warren ha confirmado este ataque también funciona en PowerPoint
- The Malware Bazaar ya tiene muestras
- CISA Advisory CVE-2021-40444
Fuente: Kaspersky
0 Comments:
Publicar un comentario
Gracias por dejar un comentario en Segu-Info.
Gracias por comentar!