martes, 14 de julio de 2009

Otro "0 day" en Microsoft... a través de Microsoft Office Web Component

Por sorpresa, Microsoft ha publicado que se están detectando ataques contra Microsoft Office Web Components a través de Internet Explorer que permiten la ejecución de código. Este es el tercer "0 day" de Microsoft (todos con ActiveX) en mes y medio.

Microsoft Office Web Components es una colección de controles COMs (Component Object Model) que se usa para publicar contenido de Office en en la web a través de Internet Explorer. En pocas palabras, un ActiveX. En él, existe un fallo que permite a un atacante ejecutar código arbitrario si la víctima visita una web especialmente manipulada. El software afectado es el siguiente:

* Microsoft Office XP Service Pack 3
* Microsoft Office 2003 Service Pack 3
* Microsoft Office XP Web Components Service Pack 3
* Microsoft Office 2003 Web Components Service Pack 3
* Microsoft Office 2003 Web Components para Microsoft Office 2007 Service Pack 1
* Microsoft ISA Server 2004 Standard Edition Service Pack 3
* Microsoft I ISA Server 2004 Enterprise Edition Service Pack 3
* Microsoft ISA Server 2006
* ISA Server 2006 Supportability Update
* Microsoft ISA Server 2006 Service Pack 1
* Microsoft Office Small Business Accounting 2006

Con esto, Microsoft acumula tres "0 day" sin solución. Se supone que hoy, en su ciclo habitual de actualizaciones, al menos solucionará uno de ellos. No se recordaba una actividad parecida desde el verano de 2006. Entonces, los atacantes se cebaron en Office. En aquel momento se popularizaron las amenazas directas y personalizadas contra compañías que recibían este intento de infección. Se trataba de ataques perpetrados especialmente contra ellos. Se descubrieron una media de dos vulnerabilidades por mes durante julio y agosto en Word, Excel o PowerPoint. Además, se detectaron siempre los ataques muy poco tiempo después del segundo martes de cada mes, con lo que normalmente fue necesario esperar casi todo un mes para que Microsoft cumpliese su siguiente ciclo de actualizaciones y poder estar protegido. Se observó entonces un claro cambio de tendencia en la forma en la que aparecieron estos problemas, unida a una obsesiva y oportunista fijación contra este software de Microsoft.

Para mitigar el problema en Microsoft Office Web Component se recomienda activar el kill bit del control ActiveX para evitar que sea llamado por Internet Explorer. Es posible hacerlo guardando este archivo con extensión .reg y ejecutarlo como administrador:



Windows Registry Editor Version 5.00



[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{0002E541-0000-0000-C000-000000000046}]

"Compatibility Flags"=dword:00000400

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{0002E559-0000-0000-C000-000000000046}]

"Compatibility Flags"=dword:00000400





Sergio de los Santos
ssantos@hispasec.com


Más información:

Vulnerability in Microsoft Office Web Components Control Could Allow Remote Code Execution
http://www.microsoft.com/technet/security/advisory/973472.mspx?pubDate=2009-07-13

No hay comentarios:

Publicar un comentario en la entrada