miércoles, 6 de noviembre de 2013

Microsoft alerta de un 0-day en Office

Microsoft ha alertado de la existencia de una vulnerabilidad "0-day" que se está explotando activamente a través de documentos Word enviados por e-mail. También ha publicado un parche en forma de "Fix it" para bloquear el ataque mientras terminan la actualización definitiva. 

Según ha informado Microsoft los ataques se han observado de manera muy limitada y de forma cuidadosamente realizada contra sistemas elegidos, principalmente en Oriente Medio y Asia del Sur. También se señala que el exploit que se está empleado necesita la interacción del usuario para que este abra un documento Word adjunto específicamente manipulado.

El ataque detectado trata de explotar la vulnerabilidad mediante una imagen (en formato TIFF) diseñada para ello e incrustada en el propio documento. El exploit ataca un fallo de seguridad sin corregir en versiones antiguas de Office (con CVE-2013-3906) y el procesamiento gráfico de imágenes en Windows.

Según la información facilitada por Microsoft el ataque combina múltiples técnicas para evitar las protecciones DEP (Data Execution Prevention) y ASLR (Address Space Layout Randomization). Básicamente, la tecnología DEP (Data Execution Prevention), permite marcar zonas de memoria no ejecutables, ya presente en Windows XP SP2 se apoya en una característica en las CPU conocida como bit NX; incluso en aquellas CPU que no implementen el bit NX, DEP es capaz de ofrecer protección con funcionalidad reducida. ASLR (Adress Space Layout Randomization) proporciona aleatoriedad en las direcciones del espacio de memoria de un proceso, para dificultar la búsqueda de direcciones "interesantes" desde el punto de vista del atacante.

Relleno de memoria "heap spray"
Fuente: http://blogs.technet.com/b/srd/archive/2013/11.aspx
Concretamente el exploit realiza grandes cantidades de relleno de memoria ("heap spray") mediante controles ActiveX (en vez de las habituales técnicas de scripting), y usa "gadgets ROP" (Return Oriented Programming) directamente incrustados para localizar páginas ejecutables. Esto también implica que el exploit fallará en máquinas protegidas con bloqueo de Controles ActiveX embebidos en documentos Office (lo que ocurre por ejemplo en el modo Vista Protegida de Office 2010); o en equipos con una versión diferente del módulo empleado para construir los "gadtgets ROP" estáticos.

Gadgets ROP iniciales
Fuente: http://blogs.technet.com/b/srd/archive/2013/11.aspx
Según la alerta de Microsoft el ataque no afecta a Office 2013, pero sí que afecta a versiones antiguas de la "suite" ofimática de Microsoft, como Office 2003 y Office 2007. Debido a la forma en que Office 2010 emplea la librería gráfica vulnerable, esta versión solo se ve afectada si se ejecuta sobre sistemas antiguos como Windows XP o Windows Server 2003, pero Office 2010 no se ve afectado cuando corre sobre Windows 7, 8 y 8.1.

Contramedidas disponibles

Microsoft ha publicado una corrección temporal en forma de "Fix it" que bloquea el ataque. Hay que señalar que este parche no corrige la vulnerabilidad sino que aplica cambios que bloquean el tratamiento de los gráficos que provocan el problema. El cambio realizado por este parche consiste en añadir la siguiente clave en el registro:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Gdiplus\DisableTIFFCodec = 1

Esta clave desactiva el codec TIFF, por lo que se elimina el soporte de este formato gráfico. Por ello, Microsoft recomienda evaluar el impacto que pueda tener esta contramedida.

Como otras contramedidas Microsoft recomienda la instalación de EMET (Enhanced Mitigation Experience Toolkit). Esta herramienta combate las técnicas de evasión de DEP y ASLR y otros métodos de exploiting conocidos. Según Microsoft EMET bloqueará el exploit con la activación de "Multiple ROP mitigations (StackPointer, Caller, SimExec, MemProt)" (disponible en EMET 4.0) o "other mitigations (MandatoryASLR, EAF, HeapSpray )" incluido en EMET 3.0 y 4.0. Otra posibilidad es el uso del Modo Vista Protegida y bloquear los controles ActiveX en documentos Office.
  
Más información:

Microsoft Security Advisory (2896666)
Vulnerability in Microsoft Graphics Component Could Allow Remote Code Execution

CVE-2013-3906: a graphics vulnerability exploited through Word documents


Antonio Ropero
Twitter: @aropero


No hay comentarios:

Publicar un comentario en la entrada