martes, 21 de octubre de 2014

Vulnerabilidad 0-day en Microsoft OLE

Microsoft ha alertado de la existencia de una vulnerabilidad 0-day en todas las versiones compatibles de Microsoft Windows (excepto Windows Server 2003). La vulnerabilidad podría permitir la ejecución remota de código si un usuario abre un archivo de Microsoft Office especialmente diseñado que contenga un objeto OLE.

Según el aviso de Microsoft la vulnerabilidad, con CVE-2014-6352, está siendo explotada en ataques dirigidos a través de archivos PowerPoint. Aunque en general el problema reside en el tratamiento de archivos Office específicamente creados con objetos OLE.

Por otra parte, todo indica que en los ataques observados se muestra la solicitud de consentimiento del UAC (User Account Control). En función de los privilegios del usuario, se le pedirá consentimiento para realizar la acción o la petición de contraseña para elevar privilegios. El UAC está active por defecto en Vista y todas las nuevas versiones de Windows.

Hasta la publicación de la solución definitiva, que se distribuirá a través de su ciclo habitual de boletines mensuales o en un boletín fuera de ciclo, Microsoft ha publicado una corrección temporal en forma de "Fix it" que bloquea el ataque, bautizada como "OLE packager Shim Workaround". Este "Fix it" está disponible para Microsoft PowerPoint en sistemas Windows 32-bit y x64, a excepción de ediciones de PowerPoint 64-bit es sistemas Windows 8 y Windows 8.1 basados en x64. Hay que señalar que este parche no corrige la vulnerabilidad sino que bloquea los posibles ataques que se han encontrado activos.

Como otras contramedidas se incluyen evitar la ejecución de archivos PowerPoint provenientes de fuentes desconocidas. Microsoft recomienda la instalación de EMET 5.0 (Enhanced Mitigation Experience Toolkit) y activar "Attack Surface Reduction". Esta herramienta combate las técnicas de evasión de DEP y ASLR y otros métodos de "exploiting" conocidos. EMET 5.0 tiene soporte oficial de Microsoft. EMET es un programa de Microsoft gratuito, (solo disponible en lenguaje ingles) sencillo de manejar y de gran utilidad. En el aviso de seguridad de Microsoft se explican detalladamente los pasos para su adecuada configuración. En el aviso de Microsoft se incluye un archivo de configuración adicional para EMET para la protección contra este ataque.

Más información:

Microsoft Security Advisory 3010060
Vulnerability in Microsoft OLE Could Allow Remote Code Execution
https://technet.microsoft.com/library/security/3010060

Microsoft security advisory: Vulnerability in Microsoft OLE could allow remote code execution
https://support.microsoft.com/kb/3010060

una-al-dia (01/08/2014) Microsoft publica EMET 5.0
http://unaaldia.hispasec.com/2014/08/microsoft-publica-emet-50.html


Antonio Ropero
antonior@hispasec.com
Twitter: @aropero

Etiquetas: , , , , ,
Suscribirse a: Enviar comentarios (Atom)
Hispasec Sistemas | Copyright ©1998-2017