El descubrimiento y las implicaciones de &#39MDB Leaker&#39



La vulnerabilidad «MDB Leaker» en la foundation de datos de Microsoft Obtain podría provocar una pérdida de memoria si no se repara.

Los investigadores revelaron hoy los detalles detrás de su descubrimiento de CVE-2019-1463, una falla dentro de la aplicación de foundation de datos Microsoft Obtain que podría provocar una pérdida de memoria si no se repara.

La vulnerabilidad «MDB Leaker» podría afectar potencialmente a más de 85,000 compañías, informan los investigadores de Mimecast que la descubrieron. Esta representa El número de organizaciones que utilizan el sistema de administración de bases de datos Microsoft Obtain. La mayoría se encuentran en los Estados Unidos.

CVE-2019-1463 es sorprendentemente related a CVE-2019-0560, un mistake de divulgación de información descubierto por Mimecast en enero de 2019. La falla anterior podría permitir la fuga involuntaria de datos en documentos y archivos de Office environment creados previamente. Según los expertos, es difícil usarlo como un error de ejecución de código, pero podría aprovecharse para recolectar información que los usuarios exponen involuntariamente.

Las dos vulnerabilidades comparten un mistake de codificación común. En el caso de MDB Leaker, la gestión inadecuada de una aplicación de memoria inadecuada también podría conducir a la divulgación de datos confidenciales o privados. Microsoft emitido un parche para este error en diciembre de 2019.

Su descubrimiento comenzó con un straightforward falso positivo, dice Meni Farjon, científico jefe de detección avanzada de malware con Mimecast. El equipo utilizó un motor de análisis estático, parte del cual fue diseñado para detectar la presencia de código de máquina en archivos de datos que solo deberían contener objetos de datos. «Encontrar instrucciones de la máquina, como el código de la CPU, en un archivo de datos es una mala noticia», dice Farjon. Si bien podría tratarse de fragmentos de contenido inofensivos, siempre existe la posibilidad de que el código de la máquina pueda indicar un exploit aprovechando un lector como Microsoft Excel o Entry, agrega.

Este sistema de análisis generó un informe falso positivo para un archivo MDB de Microsoft Accessibility. Los investigadores encontraron fragmentos de código en el archivo, que deberían haber sido solo de datos, y les preocupaba que pudiera ser una hazaña para dar a los atacantes el regulate o el código accidental que se abrió paso en el archivo.

Análisis mas extenso reveló que el código de máquina en ese archivo period código de máquina que los investigadores encontraron dentro de la aplicación Microsoft Entry. Esto los llevó a creer que había una posibilidad de un problema que causaba que el contenido se filtrara de la memoria al archivo, explica Farjon. Esto podría tener implicaciones más amplias: si un atacante pudiera acceder a una máquina con archivos MDB, o grandes cantidades de archivos MDB, podría realizar una búsqueda automática para recopilar datos confidenciales dentro de ellos.

«Esencialmente, cuando se guarda un documento, el contenido de la memoria en algunas ubicaciones se vierte en un archivo en el disco», dice. «En este escenario, otros contenidos que no se esperaba que se soltaran en el archivo se soltaron en el archivo». El equipo guardó el archivo y notó que su contenido cambió El archivo presentaba diferentes artefactos cada vez que se accedía a él.

La divulgación de información y los errores de pérdida de memoria se usan normalmente en ataques de dos etapas, dice Farjon sobre las implicaciones para MDB Leaker. Si un atacante tiene una falla de ejecución remota de código, aún necesita saber dónde está en la memoria para lanzar un ataque. Vulnerabilidades como CVE-2019-1463 pueden ayudarlos a hacer esto. «Sin conocer la ubicación, una vulnerabilidad de ejecución remota de código es prácticamente inútil», señala.

«Además, estas celdas de acceso están filtrando información potencialmente confidencial», continúa Farjon. «Pero no podemos decir con certeza qué tipo de información porque es completamente aleatoria … esta pérdida de memoria específica puede filtrar cualquier cosa de la memoria». En este sentido, dice, es menos probable un exploit porque es difícil para un atacante obtener acceso a información específica.

CVE-2019-1463 afecta a todas las versiones de Microsoft Office environment. Un aviso emitido para el CVE clasificó la vulnerabilidad como Importante. No se tiene conocimiento de que este mistake sea explotado en la naturaleza.

Al comparar MDB Leaker con el mistake related CVE-2019-0560, Farjon dice que este último es probablemente más significativo porque Microsoft Excel se united states con más frecuencia que Microsoft Entry. Dicho esto, Entry se usa para almacenar contenido más wise como la información de la base de datos, que generalmente contiene nombres de usuario y contraseñas.

«El Excel es un poco más peligroso porque hay miles de millones de esos documentos que alguien podría obtener y utilizar para buscar información confidencial», señala. «Por otro lado, Microsoft Entry se usa para almacenar información mucho más own y confidencial, pero se united states con menos frecuencia».

Contenido relacionado:

Kelly Sheridan es la Editora de individual de Darkish Reading, donde se enfoca en noticias y análisis de seguridad cibernética. Ella es una periodista de tecnología de negocios que informó anteriormente para InformationWeek, donde cubrió Microsoft, y Coverage & Technology, donde cubrió asuntos financieros … Ver biografía completa

Más tips





Enlace a la noticia first