El informe de errores | Septiembre de 2021: CVE-2021-40444


¿Por qué estoy aquí?

Existe mucha información sobre vulnerabilidades críticas Este breve informe de errores contiene una descripción standard de lo que creemos que son las principales novedades y vulnerabilidades notables. No confiamos en un único sistema de puntuación como CVSS para determinar lo que necesita saber se trata de un análisis cualitativo y basado en la experiencia, que se basa en más de 100 años de experiencia combinada en la industria dentro de nuestro equipo. Observamos características como la capacidad de gusano, la ubicuidad del objetivo, la probabilidad de explotación y el impacto. Hoy, nos centraremos en CVE-2021-40444.

Vista cruzada: CVE-2021-40444

¿Qué es?

CVE-2021-40444 es una vulnerabilidad en las aplicaciones de Business que usan vista protegida tal como Phrase, PowerPoint y Excel, que permite a un atacante lograr la ejecución remota de código (RCE). CVE-2021-40444 es una vulnerabilidad Que permite a control ActiveX cuidadosamente diseñado y un archivo MS Cupboard (.cab) malicioso ser lanzado desde un documento de Business office.

Lo más importante es que esta vulnerabilidad afecta a las aplicaciones en sí, así como al panel de vista previa del Explorador de Home windows.

¿A quién le importa?

¡Esta es una gran pregunta! Prácticamente cualquier persona que use aplicaciones de Microsoft Business, o las tenga instaladas, debería preocuparse.

Office es una de las aplicaciones más utilizadas del planeta. Las probabilidades son buenas, lo tienes abierto ahora mismo. Si bien muchas empresas han deshabilitado las macros dentro de los documentos de Office en el nivel de la directiva de grupo, es poco possible que ActiveX se trate de manera similar. Esto significa que sin una higiene de datos adecuada, una gran proporción de usuarios de Office serán vulnerables a este exploit.

Afortunadamente, es poco probable que las campañas de correo electrónico de estilo «rociar y rezar» ganen terreno con este exploit, ya que los proveedores de correo han comenzado a marcar archivos maliciosos (o al menos PoC conocidos) como malware potencial y eliminarlos como archivos adjuntos.

¿Qué puedo hacer?

¡Buenas noticias! No estás necesariamente completamente indefenso. De forma predeterminada, Windows united states of america una bandera conocida como «Marca de la World-wide-web”(MoTW) para habilitar el modo protegido en Office environment. Los archivos adjuntos de correo electrónico, las descargas world wide web y similares tienen este indicador MoTW establecido, y el modo protegido evita que se ejecuten las operaciones de pink, los controles ActiveX y las macros incrustadas en un documento, lo que deshabilita efectivamente los intentos de explotación de esta vulnerabilidad.

Dicho esto, los usuarios se han acostumbrado tanto al mensaje de Vista protegida que a menudo lo descartan sin considerar las consecuencias. Al igual que la «fatiga de confirmación» puede llevar a la instalación de software program malicioso, los atacantes pueden aprovechar esta respuesta humana común para comprometer la máquina objetivo.

Más aún, si bien la explotación puede ocurrir a través de las propias aplicaciones de Office environment y a través del panel de vista previa del Explorador, el panorama El panel de vista previa funciona de una manera completamente diferente, lo que no activa el exploit. Exactamente por qué existe esta distinción, solo MS puede explicarlo, pero el resultado es que los usuarios de Outlook tienen que abrir explícitamente archivos maliciosos para ser explotados: cuantos más obstáculos tengan que atravesar los usuarios para abrir un archivo malicioso, es menos probable que sean engañados.

Si estoy protegido por defecto, ¿por qué importa esto?

Depende completamente de cómo se entrega el archivo y dónde lo guarda el usuario.

Hay muchas formas de obtener archivos más allá de las descargas de correo electrónico y net: tarjetas flash para cámaras, memorias USB, discos duros externos, and so forth. Los archivos abiertos desde estas fuentes (y muchas aplicaciones comunes[1]) no tienen configurada la bandera MoTW, lo que significa que los atacantes podrían eludir la protección por completo enviando un archivo malicioso en un archivo .7z, o como parte de una imagen de disco, o colocando una unidad flash USB en su entrada. Después de todo, convencer a los usuarios de que abran esos archivos no es más difícil que cualquier otra estrategia de ingeniería social.

Otra solución divertida para eludir las protecciones predeterminadas es hacer uso de un archivo RTF: enviado por correo electrónico, descargado o de otro modo. Según nuestras pruebas, un archivo RTF guardado desde un archivo adjunto de correo electrónico no lleva el MoTW, pero aún puede usarse como un vector de explotación. Queda por ver si los archivos RTF se convierten en la opción preferida para este exploit.

TL DR

¡Decir ah! Ponemos tl dr cerca del closing, lo que solo tiene sentido cuando la información anterior es tan importante que vale la pena leerla. Pero si lo único que le importa es lo que puede hacer activamente para asegurarse de no ser susceptible, esta sección es para usted.

Mitigaciones:

  • ¡Aplique el parche! Disponible a través de Windows Update a partir del 14/9/2021, esta es su mejor solución.
  • Habilite la solución alternativa del registro para deshabilitar ActiveX los detalles se pueden encontrar en Microsoft boletín página y debería desactivar eficazmente los intentos de explotación hasta que se pueda aplicar un parche formal.
  • Confirme que el panel «Vista previa» del Explorador de Windows esté discapacitado (esto es cierto por defecto). Esto solo protege contra la explotación del panel de vista previa en el Explorador. Abrir el archivo fuera del modo protegido (como un archivo RTF) o deshabilitar explícitamente el modo protegido seguirá permitiendo la explotación.

El estándar de oro

En caso de que simplemente no pueda aplicar el parche o tener un «ciclo de parches de producción» o lo que sea, McAfee Organization lo tiene cubierto. De acuerdo con nuestra foundation de conocimientos, proporcionamos una cobertura integral para este ataque en nuestra pila de tecnología de protección y detección de punto remaining (ENS Specialist Regulations), red (NSP) y EDR.

https://kc.mcafee.com/corporate/index?page=articles&id=KB94876

[1] 7zip, archivos de imágenes de disco u otros formatos de contenedor, volúmenes formateados Unwanted fat, and so forth.





Enlace a la noticia original