Nivel de criticidad: crítico
El Centro de Operaciones de Ciberseguridad – CSOC-CERT de Gamma Ingenieros informa sobre vulnerabilidades detectadas en productos de Microsoft.
Antecedentes: el investigador de seguridad Haifei Li de EXPMON, descubrió una vulnerabilidad no parcheada de día cero sobre productos Microsoft Windows. Apartir de la ejecución de código remoto contra organizaciones, impactando el motor derenderizado de internet,
MSHTML, el cual es utilizado por otros programas, entre ellos Internet Explorer, Microsoft Edge y el paquete de Office. Esta vulnerabilidad se encuentra en el módulo MSHTML que permite a cualquier aplicación mostrar una página web, facilitando así su aprovechamiento por medio de un documento de Office malicioso (Word, Excel, PowerPoint) con una referencia de página web incrustada, lo que puede ser utilizado para propagar ransomware o ser explotada por medio de referencias de páginas web disimuladas en documentos de Word principalmente y propagadas por medio de herramientas de correo.
Vulnerabilidad: se explota cuando el usuario abre el documento, permitiendo que el atacante ejecute código arbitrario a distancia. Para abrir el documento, Microsoft Word debe descargar una página web remota, referenciada en el documento y al abrir el contenido web (un código JS) se descarga ejecutandose en el componente MSHTML ActiveX de Microsoft Word, lo que es un comportamiento legítimo. Luego, el código JS descarga el paquete viral (un ransomware) presentado como un paquete CAB que contiene un archivo DLL que es un desencadenante de la descompresión gracias a un HTML “<objeto>”; de este modo, el script aprovecha la vulnerabilidad cambiando la URL del componente MSHTML, lo que permite cargar la DLL sin comprimir en el archivo “rundll32.exe” ejecutando la DLL con privilegios locales y el dispositivo queda comprometido.
En la siguiente imagen se puede evidenciar la forma de ataque, teniendo en cuenta que se asume que Office 2007 abre el documento:
La vulnerabilidad está presente en las versiones desde Windows 7 SP1 (32 o 64 bits) hasta Windows 10 (1809).
| CVE PUNTUACIÓN: | CVE-2021-40444 |
| CRITICIDAD: | CVSS:3.0 8.8 / 7.9 |
| TIPO: | Remote Code Execution Vulnerability |
| PRODUCTOS AFECTADOS: | Microsoft Windows |
| VERSIONES AFECTADAS: | Windows versión 42, desde Windows 7 SP1 (32 o 64 bits) hasta Windows 10 (1809). |
Evidencia de Explotabilidad: en la siguiente imagen podemos ver una captura de la PoC que ya se encuentra publicada en GitHub.
Recomendaciones y mitigación:
• De forma predeterminada, Microsoft Office abre documentos de Internet en Vista protegida o Application Guard for Office, los cuales evitan el ataque actual.
• Revisar y estar pendiente de los parches y actualizaciones que el fabricante publique sobre esta vulnerabilidad.
• Mantener actualizados los productos antimalware.
• No abrir documentos de Microsoft Office, procedente de fuentes desconocidas y/o no confiables.
• Agregar las siguientes claves de registro para deshabilitar la instalación de controles ActiveX [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CurrentVersion
\Internet Settings\Zones\0] «1001»=dword:00000003 «1004»=dword:00000003
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CurrentVersion
\Internet Settings\Zones\1] «1001»=dword:00000003 «1004»=dword:00000003
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CurrentVersion
\Internet Settings\Zones\2] «1001»=dword:00000003 «1004»=dword:00000003
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CurrentVersion
\Internet Settings\Zones\3] «1001»=dword:00000003 «1004»=dword:00000003
• Desactivar la previsualización de Microsoft Explorer (Shell Preview).
• Solicitar a su gerente de cuenta cotización de nuestros servicios y soluciones de protección de endpoint para protegerse de este tipo de vulnerabilidades.
• Para descubrir esta y otras vulnerabilidades sobre sus sistemas, contacte con su gerente de cuenta para solicitar más información sobre este servicio.
Puede ampliar la información visitando: • https://unaaldia.hispasec.com/2021/09/grave-vulnerabilidad-0-day-enwindows-esta-siendo-explotada-activamente.html • https://www.stormshield.com/news/cve-2021-40444-security-alert-theresponse-of-stormshield-products/ • https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-40444 • https://us-cert.cisa.gov/ncas/current-activity/2021/09/07/microsoft-releasesmitigations-and-workarounds-cve-2021-40444 • https://github.com/lockedbyte/CVE-2021-40444
