Tienda Wifi

Tienda Wifi
CiudadWireless es la tienda Wifi recomendada por elhacker.NET

Buscador

Entradas Mensuales

Suscripción

¿Quieres recibir las últimas novedades del blog en tu correo?

¡Suscríbete al feed!

Foro de elhacker.net - Noticias

elhacker.NET en Facebook

Entradas populares

PostHeaderIcon Grave vulnerabilidad de ejecución remota de código a través de Microsoft Office




Microsoft ha detectado una grave vulnerabilidad  apodada Sandworm que podría permitir la ejecución remota de código y que afectaría a todas las versiones de Microsoft Windows, excepto Windows Server 2003, a través de ficheros manipulados para Microsoft PowerPoint.





También han confirmado que la falla de día cero está siendo activamente explotada por los piratas a través de ataques limitados y dirigidos que usan documentos maliciosos de PowerPoint enviados como adjuntos de correo electrónico, aunque todos los tipos de archivo de Office pueden ser utilizados para llevar a cabo mismo ataque.



De acuerdo con el Microsoft Security Advisory publicada el martes, la vulnerabilidad día cero (CVE-2014 a 6352) reside en el código del sistema operativo que se encarga de OLE. La tecnología OLE (Object Linking and Embedding) es la más comúnmente utilizada por Microsoft Office para incrustar datos de, por ejemplo, una hoja de cálculo de Excel en un documento de Word, aunque por el momento solo se están aprovechando de PowerPoint.
Todo empezaba con un correo electrónico (un ataque de spear-phishing en el que se adjuntaba un fichero .ppsx ppsx (un fichero de Powerpoint que al abrirlo se pone automáticamente en modo presentación, lo único diferente a un .pptx standard).


Al abrirlo, el fichero muestra un listado de simpatizantes prorrusos… y por debajo intenta descargarse dos ficheros de una carpeta SMB remota: slide1.gif y slide.inf. Los ficheros .inf se pueden usar para tareas de instalación de software (todos recordaréis los infames autorun.inf que tan “buenos” ratos nos hicieron pasar en los USB), y algunas de las cosas que suelen hacer es renombrar ficheros o añadir claves en el registro.

En este caso, el .inf renombra el .gif a un .exe (una variante del malware de acceso remoto BlackEnergy), y crea una clave en el registro para que se lance en el próximo reinicio. El motivo principal para no descargarse un .exe directamente es que muchos antivirus o los proxys web de las organizaciones los bloquean por defecto, de ahí esta “triquiñuela”.

Fuente:
http://www.securityartwork.es/2014/10/16/sandworm-llueve-sobre-mojado/

Análisis en inglés en el blog de Symantec:
http://blog.trendmicro.com/trendlabs-security-intelligence/an-analysis-of-windows-zero-day-vulnerability-cve-2014-4114-aka-sandworm/

La vulnerabilidad publicada por Microsoft podría ser explotada si un usuario abre un fichero Microsoft Office especialmente manipulado conteniendo un objeto OLE. Un atacante remoto que consiga aprovechar esta vulnerabilidad podría obtener los privilegios del usuario que abra el fichero. El ataque requiere interacción del usuario para tener éxito, en sistemas Windows con una configuración por defecto.
Se ha reservado el identificador CVE-2014-6352 para esta vulnerabilidad.

Microsoft ha detectado ataques dirigidos que están intentando explotar esta vulnerabilidad a través de Microsoft PowerPoint.

Solución

Microsoft ha publicado una solución alternativa para determinadas versiones de Windows y PowerPoint.
Además, Microsoft recomienda:

Microsoft ya ha publicado una revisión de seguridad temporal (parche) para la falla que previene la explotación de la vulnerabilidad:

  • Microsoft Fix it 51026 "OLE packager Shim Workaround"
    El Fix it está disponible para Microsoft PowerPoint en las ediciones de 32 bits y x64 basados de Microsoft Windows, con la excepción de las ediciones de 64 bits de PowerPoint en las ediciones x64 de Windows 8 y Windows 8.1.

    Windows Vista, aunque pudieran estar afectadas por este fallo, no disponen de soporte técnico, como es el caso de Windows XP
    .

  • No abrir ficheros Microsoft PowerPoint de fuentes no fiables.
  • Activar el control de cuentas de usuario o User Account Control (UAC).
  • Desplegar EMET 5.0 y configurar la funcionalidad de Attack Surface Reduction.
Para más detalles, consúltese la sección correspondiente del aviso de Microsoft. 
"Mientras que la vulnerabilidad original (CVE-2014-4114) estaba embebida en archivos OLE que vinculaban archivos externos, la más nueva vulnerabilidad (CVE-2014-6352) hace referencia a archivos OLE que tienen payloads ejecutables embebidos dentro de ellos", explicaron los investigadores.
Aún no hay parche para la segunda vulnerabilidad, pero Microsofr ha ofrecido un Fix It (programa diagnóstico que permite detectar problemas) y soluciones para bloquear los vectores de ataque conocidos. También ha recomendado a los usuarios no abrir archivos de Power Point o cualquier otro archivo de Office descargado desde fuentes desconocidas. La vulnerabilidad afecta a todas las versiones de Windows.
"En este nuevo ataque, el archivo .EXE malicioso y el .INF están ya embebidos dentro de los objetos OLE, en lugar de descargar el malware de un sitio remoto. Una ventaja de este enfoque es que no requerirá que la computadora se conecte a la ubicación de la descarga, evitando así cualquier detección del Sistema de Prevención de Intrusiones a la Red (NIPS)," hizo notar Ronnie Giagone, analista de amenazas de Trend Micro, y compartió aspectos técnicos del ataque.

0 comentarios :

Publicar un comentario

Los comentarios pueden ser revisados en cualquier momento por los moderadores.

Serán publicados aquellos que cumplan las siguientes condiciones:
- Comentario acorde al contenido del post.
- Prohibido mensajes de tipo SPAM.
- Evite incluir links innecesarios en su comentario.
- Contenidos ofensivos, amenazas e insultos no serán permitidos.

Debe saber que los comentarios de los lectores no reflejan necesariamente la opinión del STAFF.