Microsoft compartió hoy la mitigación de una vulnerabilidad de ejecución remota de código en Windows que está siendo explotada en ataques dirigidos contra Office 365 y Office 2019 en Windows 10.
La falla está en MSHTML, el motor de renderizado del navegador que también utilizan los documentos de Microsoft Office.
Ataques continuos contra Office 365
Identificado como CVE-2021-40444, el problema de seguridad afecta a Windows Server 2008 a 2019 y Windows 8.1 a 10 y tiene un nivel de gravedad de 8.8 de un máximo de 10.
Microsoft está al tanto de los ataques dirigidos que intentan explotar la vulnerabilidad enviando documentos de Microsoft Office especialmente diseñados a las víctimas potenciales, dice la compañía en un aviso hoy.
“Un atacante podría crear un control ActiveX malicioso para ser utilizado por un documento de Microsoft Office que aloja el motor de renderizado del navegador. El atacante tendría que convencer al usuario de que abra el documento malicioso ”- Microsoft
Sin embargo, el ataque se frustra si Microsoft Office se ejecuta con la configuración predeterminada, donde los documentos de la web se abren en el modo Vista protegida o Application Guard para Office 365.
La Vista protegida es un modo de solo lectura que tiene la mayoría de las funciones de edición deshabilitadas, mientras que Application Guard aísla los documentos que no son de confianza y les niega el acceso a los recursos corporativos, la intranet u otros archivos del sistema.
Los sistemas con Defender Antivirus y Defender for Endpoint de Microsoft activos (compilación 1.349.22.0 y superior) se benefician de la protección contra intentos de explotación de CVE-2021-40444.
La plataforma de seguridad empresarial de Microsoft mostrará alertas sobre este ataque como «Ejecución sospechosa de archivo Cpl».
A los investigadores de múltiples empresas de ciberseguridad se les atribuye el mérito de encontrar e informar sobre la vulnerabilidad: Haifei Li de EXPMON, Dhanesh Kizhakkinan, Bryce Abdo y Genwei Jiang, los tres de Mandiant y Rick Cole de Microsoft Security Intelligence.
En un tweet de hoy, EXPMON (exploit monitor) dice que encontraron la vulnerabilidad después de detectar un «ataque de día cero altamente sofisticado» dirigido a los usuarios de Microsoft Office.
Los investigadores de EXPMON reprodujeron el ataque en la última versión de Office 2019 / Office 365 en Windows 10.
En una respuesta a BleepingComputer, Haifei Li de EXPMON dijo que los atacantes usaron un archivo .DOCX. Al abrirlo, el documento cargó el motor de Internet Explorer para representar una página web remota del actor de amenazas.
Luego, el malware se descarga mediante un control ActiveX específico en la página web. La ejecución de la amenaza se realiza mediante «un truco llamado ‘Ejecución de archivos Cpl'», al que se hace referencia en el aviso de Microsoft.
El investigador nos dijo que el método de ataque es 100% confiable, lo que lo hace muy peligroso. Se informó de la vulnerabilidad a Microsoft la madrugada del domingo.
Fix de Microsoft:
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-40444
Solución alternativa para ataques de día cero CVE-2021-40444
Como no hay ninguna actualización de seguridad disponible en este momento, Microsoft ha proporcionado la siguiente solución: deshabilite la instalación de todos los controles ActiveX en Internet Explorer.
Una actualización del registro de Windows garantiza que ActiveX quede inactivo para todos los sitios, mientras que los controles ActiveX ya disponibles seguirán funcionando.
Los usuarios deben guardar el archivo a continuación con la extensión .REG y ejecutarlo para aplicarlo a la sección de políticas. Después de reiniciar el sistema, se debe aplicar la nueva configuración.
Como las actualizaciones aún no están disponibles para el CVE-2021-40444, han lanzado la siguiente solución que evita que los controles ActiveX se ejecuten en Internet Explorer y las aplicaciones que integran el navegador.
Para deshabilitar los controles ActiveX, siga estos pasos:
- Abra el Bloc de notas y pegue el siguiente texto en un archivo de texto. Luego, guarde el archivo como disable-activex.reg . Asegúrese de tener habilitada la visualización de extensiones de archivo para crear correctamente el archivo de registro.Alternativamente, puede descargar el archivo de registro desde aquí .
Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0] "1001"=dword:00000003 "1004"=dword:00000003 [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\1] "1001"=dword:00000003 "1004"=dword:00000003 [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\2] "1001"=dword:00000003 "1004"=dword:00000003 [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3] "1001"=dword:00000003 "1004"=dword:00000003 - Busque el disable-activex.reg recién creado y haga doble clic en él. Cuando se muestre un mensaje de UAC, haga clic en el botón Sí para importar las entradas del Registro.
- Reinicie su computadora para aplicar la nueva configuración.
Una vez que reinicie su computadora, los controles ActiveX se desactivarán en Internet Explorer.
Cuando Microsoft proporciona una actualización de seguridad oficial para esta vulnerabilidad, puede eliminar esta corrección temporal del Registro eliminando manualmente las claves del Registro creadas.
Alternativamente, puede utilizar este archivo de registro para eliminar automáticamente las entradas.
Actualización [7 de septiembre de 2021, 16:46 EST]: Se agregó un comentario recibido después de la publicación de Haifei Li de EXPMON, uno de los investigadores que informó la vulnerabilidad a Microsoft.
Fuente: https://www.bleepingcomputer.com/news/security/microsoft-shares-temp-fix-for-ongoing-office-365-zero-day-attacks/amp/?__twitter_impression=true
0 comentarios