lunes, 10 de abril de 2017

Vulnerabilidad crítica en todas las versiones de Office

Documentos maliciosos de Microsoft Office RTF que aprovechan una vulnerabilidad no revelada anteriormente. Esta vulnerabilidad permite ejecutar una secuencia de comandos de Visual Basic cuando el usuario abre un documento que contiene una vulnerabilidad incrustada. La explotación de un nuevo Zero-Day en todas las versiones de Microsoft Word, incluido Office 2016, con Windows 10, está instalando malware en sistemas actualizados.




El ataque es notable por varias razones. Afecta a Windows 10, que los expertos en seguridad consideran la más segura de todas. Además, al contrario que casi todos los exploits para Office, no necesita que están activados los macros. El ataque empieza con un email que contiene un .doc malicioso. Al abrirlo, se conecta con un servidor (controlado por el atacante) y se descarga un .hta (fichero de aplicación en HTML, un formato propio de microsoft) disfrazado como un documento en RTF. Por detrás, el .hta descarga y ejecuta malware adicional.

Las muestras que se han detectado están organizadas como archivos Word (más especialmente, archivos RTF con el nombre de la extensión ".doc"). El exploit funciona en todas las versiones de Microsoft Office, incluyendo la última versión de Office 2016 que se ejecuta en Windows 10.

Actualizada 12/4/17:

Parche de urgencia de Microsoft:

CVE-2017-0199 | Microsoft Office/WordPad Remote Code Execution Vulnerability w/Windows API


Vulnerabilidad sin parchear

La causa raíz de la vulnerabilidad de día cero está relacionada con la vinculación y incrustación de objetos de Windows (OLE), una característica importante de Office.

Recomendamos firmemente que los usuarios de Office tomen las siguientes medidas para proteger o mitigar este ataque de día cero antes de que Microsoft emita un parche oficial.


  • No abra ningún archivo de Office obtenido de ubicaciones no confiables.
  • Activar la Vista protegida de Office. "Office Protected View" esté habilitado.


Los expertos en seguridad informan que Microsoft solucionará la vulnerabilidad el martes. Mientras tanto, los usuarios pueden bloquear el ataque habilitando la Vista Protegida agregando lo siguiente a su registro de Windows:

HKEY_CURRENT_USER\Software\Microsoft\Office\15.0\Word\Security\FileBlock\RtfFiles valor a 2 

HKEY_CURRENT_USER\Software\Microsoft\Office\15.0\Word\Security\FileBlock\OpenInProtected a valor 0
Key:

HKEY_CURRENT_USER\Software\Microsoft\Office\14.0\Word\Security\FileBlock

Valor

OpenInProtectedView

Opciones


  • 0 - do not open selected file types
  • 1 - Open selected file types in Protected View (seems to be the default?)
  • 2 - Open selected file types in Protected View and allow editing ( little to no protection )


Valor

RtfFiles

Opciones


  • Nothing-ValueDNE - no protection for RTF files (default)
  • 1 - prevent word from saving RTF files ( no protection )
  • 2 - open RTF files using the security setting as defined in the "OpenInProtectedView" value above.



En Office 2003 sería versión 11



Según FireEye, el ataque comienza con un correo electrónico con un documento malicioso de Word adjunto. Una vez abierto, el código de explotación escondido dentro del documento se conecta a un servidor controlado por el atacante y se descarga un archivo HTML (HTA) malicioso que se hace pasar por un documento de texto enriquecido. Este archivo .hta descarga otros tipos de malware de diferentes familias.


Ataque sin usar macros


El ataque es notable por varias razones. En primer lugar, elimina la mayoría de las mitigaciones de exploits y esto le permite funcionar en Windows 10. En segundo lugar, a diferencia de la gran mayoría de los exploits de Word, este nuevo ataque no requiere que se habiliten las macros. Por último, el exploit abre un documento señuelo de Word, en un intento de ocultar cualquier signo del ataque.



Estos ataques fueron reportados por primera vez por investigadores de McAfee. El exploit se conecta a un servidor remoto controlado por el atacante, descarga un archivo .hta y lo ejecuta. Debido a que este tipo de archivos son ejecutables, el atacante obtiene la ejecución completa del código en la máquina de la víctima.



Los investigadores de FireEye dijeron que se han estado comunicando con Microsoft sobre la vulnerabilidad durante varias semanas y que habían acordado no divulgarla públicamente hasta que se publicara un parche. FireEye más tarde decidió publicarlo después de que McAfee revelara los detalles de la vulnerabilidad.


Fuentes:
http://blog.segu-info.com.ar/2017/04/zero-day-en-word-permite-infeccion-sin.html
https://securingtomorrow.mcafee.com/mcafee-labs/critical-office-zero-day-attacks-detected-wild/
https://www.fireeye.com/blog/threat-research/2017/04/acknowledgement_ofa.html
https://arstechnica.com/security/2017/04/booby-trapped-word-documents-in-the-wild-exploit-critical-microsoft-0day/

No hay comentarios:

Publicar un comentario