Canal de Telegram

12 jul 2023

Segu-Info » , » Vulnerabilidad Zero-Day CVE-2023-36884 utilizada activamente contra usuarios de Office (aún sin parche)

Vulnerabilidad Zero-Day CVE-2023-36884 utilizada activamente contra usuarios de Office (aún sin parche)

12 jul 2023, 9:03:00 a.m.   Comenta primero!
  ,  

Microsoft reveló ayer un error de seguridad Zero-Day en varios productos de Windows y Office, los cuales están siendo explotados activamente para obtener la ejecución remota de código a través de documentos maliciosos de Office.

"Microsoft está investigando informes de una serie de vulnerabilidades de ejecución remota de código que afectan a los productos de Windows y Office. Microsoft está al tanto de los ataques dirigidos que intentan explotar estas vulnerabilidades mediante el uso de documentos de Microsoft Office especialmente diseñados"dijo Redmond.

Los atacantes no autenticados pueden explotar la vulnerabilidad (registrada como CVE-2023-36884 y con un CVSS de 8.1) en ataques de alta complejidad sin requerir la interacción del usuario. La explotación exitosa podría conducir a una pérdida total de confidencialidad, disponibilidad e integridad, lo que permitiría a los atacantes acceder a información confidencial, desactivar la protección del sistema y denegar el acceso al sistema comprometido. Se ha comprobado que el grupo Storm-0978 está aprovechando esta vulnerabilidad en ataques activos.

"Un atacante podría crear un documento de Microsoft Office especialmente diseñado que le permita realizar la ejecución remota de código en el contexto de la víctima. Sin embargo, un atacante tendría que convencer a la víctima para que abra el archivo malicioso".

Si bien la falla aún no se soluciona, Microsoft dice que proporcionará a los clientes parches a través del proceso de lanzamiento mensual o una actualización de seguridad fuera de banda.

Ataques explotados contra los asistentes a la Cumbre de la OTAN

En una publicación de blog separada, la compañía dice que el error CVE-2023-36884 fue explotado en ataques recientes dirigidos a organizaciones que asistieron a la Cumbre de la OTAN en Vilnius, Lituania.

Como se documenta en los informes publicados por el Equipo de Respuesta a Emergencias Informáticas de Ucrania (CERT-UA) y los investigadores del equipo de inteligencia de BlackBerry, los atacantes utilizaron documentos maliciosos que se hacían pasar por la organización del Congreso Mundial de Ucrania para instalar cargas útiles de malware, incluido el cargador MagicSpell y la puerta trasera RomCom.

"Si se explota con éxito, permite que un atacante realice un ataque basado en ejecución remota de código (RCE) a través de la elaboración de un documento .DOCX o .RTF malicioso diseñado para explotar la vulnerabilidad", dijeron los investigadores de seguridad de BlackBerry. "Esto se logra aprovechando el documento especialmente diseñado para ejecutar una versión vulnerable de MSDT, que a su vez permite que un atacante pase un comando a la utilidad para su ejecución. La última campaña del actor detectada en junio de 2023 involucró el abuso de CVE-2023-36884 para entregar una puerta trasera con similitudes con RomCom", dijo Microsoft también el martes.

Enlaces de RomCom al ransomware

Microsoft ha identificado una campaña de phishing realizada por el actor de amenazas rastreado como Storm-0978 dirigida a entidades gubernamentales y de defensa en Europa y América del Norte. La campaña involucró el abuso de CVE-2023-36884, que incluía una vulnerabilidad de ejecución remota de código explotada antes de la divulgación a Microsoft a través de documentos de Word, utilizando señuelos relacionados con el Congreso Mundial de Ucrania.

RomCom es un grupo de ciberdelincuentes con sede en Rusia (también conocido como Storm-0978) conocido por participar en ataques de ransomware y extorsión junto con campañas centradas en el robo de credenciales, probablemente destinadas a respaldar operaciones de inteligencia, según Redmond.

La pandilla estuvo anteriormente vinculada a la operación de ransomware Industrial Spy, que ahora ha cambiado a ransomware llamado Underground [VirusTotal].

En mayo de 2022, mientras investigaba la identificación TOX y la dirección de correo electrónico en una nota de rescate de Industrial Spy, MalwareHunterTeam descubrió una asociación peculiar con la operación de ransomware Cuba. Observó que una muestra del ransomware Industrial Spy generó una nota de rescate con una ID TOX y una dirección de correo electrónico idénticas a las utilizadas por Cuba, así como enlaces al sitio de fuga de datos de Cuba.

Sin embargo, en lugar de dirigir a los usuarios al sitio de fuga de datos de Industrial Spy, el enlace proporcionado conducía al sitio Tor de Cuba Ransomware. Además, la nota de rescate usaba el mismo nombre de archivo, !! READ ME !!.txt, tal como se identificaron previamente las notas de rescate de Cuba.

Grupo Storm-0978

Storm-0978 usa versiones troyanizadas de software popular y legítimo, lo que conduce a la instalación de RomCom. Los ejemplos observados de software con troyanos incluyen productos de Adobe, Advanced IP Scanner, Solarwinds Network Performance Monitor, Solarwinds Orion, KeePass y Signal. Para alojar los instaladores troyanos para la entrega, Storm-0978 normalmente registra dominios maliciosos que imitan el software legítimo (por ejemplo, el dominio malicioso advanced-ip-scaner[.]com).

En intrusiones de ransomware conocidas, Storm-0978 ha accedido a las credenciales descargando hashes de contraseñas (SAM) mediante el registro de Windows. Para acceder a la SAM, los atacantes deben adquirir privilegios de nivel de SYSTEM. Storm-0978 usa las funcionalidades SMBExec y WMIExec del marco Impacket para el movimiento lateral. Una de las cadenas de infección es sumamente complicada:

En junio Storm-0978 llevó a cabo una campaña de phishing que contenía un OneDrive falso para ofrecer una puerta trasera con similitudes con RomCom. Los correos electrónicos de phishing estaban dirigidos a entidades gubernamentales y de defensa en Europa y América del Norte, con señuelos relacionados con el Congreso Mundial de Ucrania. Estos correos electrónicos condujeron a la explotación a través de la vulnerabilidad CVE-2023-36884.

Medidas de mitigación disponibles

Hasta que los parches CVE-2023-36884 estén disponibles, Microsoft dice que los clientes que usan Defender para Office y aquellos que han habilitado la regla de reducción de superficie de ataque (ASR) "Bloquear todas las aplicaciones de Office para que no creen procesos secundarios" (Block all Office applications from creating child processes) están protegidos contra ataques de phishing que intentan explotar el error.

Quienes no utilicen estas protecciones pueden agregar los siguientes nombres de aplicación a la clave de registro:

HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Internet Explorer\Main\FeatureControl\FEATURE_BLOCK_CROSS_PROTOCOL_FILE_NAVIGATION como valores de tipo REG_DWORD con 1:

  • excel.exe
  • Graph.exe
  • MSAccess.exe
  • MSPub.exe
  • PowerPoint.exe
  • Visio.exe
  • WinProj.exe
  • winword.exe
  • wordpad.exe

Sin embargo, es importante tener en cuenta que configurar esta clave de registro para bloquear los intentos de explotación también puede afectar algunas funciones de Microsoft Office vinculadas a las aplicaciones enumeradas anteriormente.

Hasta el momento, y hasta que exista una actualización oficial de Microsoft, se pueden seguir las recomendaciones planteadas por la empresa en la sección de recomendaciones de este artículo

Fuente: BC | Microsoft

Suscríbete a nuestro Boletín

0 Comments:

Publicar un comentario

Gracias por dejar un comentario en Segu-Info.

Gracias por comentar!