Vulnerabilidad de Día Cero que Afecta a Usuarios de Windows con Documentos de Microsoft Office

Microsoft el martes emitió un aviso de seguridad identificando una vulnerabilidad de ejecución remota de código en MSHTML que afecta a Microsoft Windows mediante el uso de documentos de Microsoft Office especialmente diseñados.

Rastreada como CVE-2021-40444 (puntuación CVSS: 8.8), esta vulnerabilidad de ejecución remota de código está incrustada en MSHTML (también conocido como Trident), un motor de navegador propietario para la versión de Microsoft Windows de Internet Explorer, y afecta a Windows Server 2008 hasta 2019 y Windows 8.1 hasta 10.

“Un atacante podría crear un control ActiveX malicioso que sería utilizado por un documento de Microsoft Office que aloja el motor de renderizado del navegador. El atacante tendría que convencer al usuario para que abra el documento malicioso”, dijo la empresa en el aviso de seguridad.

“Los usuarios cuyos cuentas están configuradas para tener menos derechos de usuario en el sistema podrían verse menos afectados que los usuarios que operan con derechos de usuario administrativos.”

Según la empresa, tanto su Microsoft Defender Antivirus como Microsoft Defender for Endpoint proporcionan detección y protección para la vulnerabilidad conocida. Ha aconsejado a sus clientes que mantengan sus productos antimalware actualizados y aquellos que utilicen actualizaciones automáticas no necesitan tomar medidas adicionales.

Los clientes empresariales que gestionan actualizaciones deben seleccionar la versión de detección 1.349.22.0 o más reciente y desplegarla en sus entornos. Las alertas de Microsoft Defender for Endpoint se mostrarán como: “Ejecución de archivo Cpl sospechosa”.

Microsoft dijo que, al completar la investigación, tomará las medidas adecuadas para ayudar a proteger a sus clientes, lo que puede incluir proporcionar una actualización de seguridad a través de nuestro proceso de lanzamiento mensual o proporcionar una actualización de seguridad fuera de ciclo, dependiendo de las necesidades del cliente.

El gigante de Redmond acreditó a Rick Cole del Centro de Inteligencia de Amenazas de Microsoft (MSTIC), Dhanesh Kizhakkinan, Bryce Abdo y Genwei Jiang de Mandiant, y Haifei Li de EXPMON, por descubrir la vulnerabilidad.

Andrew Thompson, un analista de amenazas en Mandiant, señaló que “las detecciones robustas centradas en el comportamiento post-explotación son una red de seguridad que te permite detectar intrusiones que involucran explotación de día cero.”

EXPMON dijo en un tweet que detectaron un “ataque de día cero altamente sofisticado” dirigido a usuarios de Microsoft Office.

“Reprodujimos el ataque en la última Office 2019/Office 365 en Windows 10 (entorno típico de usuario), para todas las versiones afectadas, por favor lea el Aviso de Seguridad de Microsoft. La explotación utiliza fallas lógicas, por lo que la explotación es perfectamente confiable (& peligrosa)”, tuiteó la empresa.

Mientras tanto, Microsoft no ha divulgado información sobre la naturaleza de los ataques, sus objetivos o el(los) atacante(s) que explotan esta vulnerabilidad de día cero al público.

Con respecto a las mitigaciones y soluciones alternativas, Microsoft sugirió deshabilitar la instalación de todos los controles ActiveX en Internet Explorer, lo que se puede lograr para todos los sitios actualizando el registro.

“Los controles ActiveX instalados previamente seguirán funcionando, pero no exponen esta vulnerabilidad”, dijo el aviso.

“Si usas el Editor del Registro incorrectamente, puedes causar problemas graves que pueden requerir que reinstales tu sistema operativo. Microsoft no puede garantizar que puedas resolver problemas que resulten de usar el Editor del Registro incorrectamente.”

Para deshabilitar los controles ActiveX en un sistema individual:

2. Para deshabilitar la instalación de controles ActiveX en Internet Explorer en todas las zonas, pega lo siguiente en un archivo de texto y guárdalo con la extensión de archivo .reg:

| | Editor del Registro de Windows Versión 5.00 [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0]
“1001”=dword:00000003
“1004”=dword:00000003 [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\1]
“1001”=dword:00000003
“1004”=dword:00000003 [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\2]
“1001”=dword:00000003
“1004”=dword:00000003 [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3]
“1001”=dword:00000003
“1004”=dword:00000003 | |

2. Haz doble clic en el archivo .reg para aplicarlo a tu hive de Políticas.

3. Reinicia el sistema para asegurar que la nueva configuración se aplique.

Esta solución alternativa establece el URLACTION_DOWNLOAD_SIGNED_ACTIVEX (0x1001) y URLACTION_DOWNLOAD_UNSIGNED_ACTIVEX (0x1004) en DESHABILITADO (3) para todas las zonas de internet para procesos de 64 bits y 32 bits.

No se instalarán nuevos controles ActiveX y los controles ActiveX instalados previamente seguirán funcionando.