Microsoft alerta de un 0-day en Office

http://feedproxy.google.com/~r/hispasec/zCAd/~3/1VNsgSJ7KC0/microsoft-alerta-de-un-0-day-en-office.html

Microsoft
ha alertado de la
existencia de una vulnerabilidad “0-day”
que se está explotando activamente a través de documentos Word enviados por
e-mail. También ha publicado un parche en forma de “Fix it” para bloquear el ataque mientras terminan la
actualización definitiva. 

Según ha informado Microsoft los
ataques se han observado de manera muy limitada y de forma cuidadosamente
realizada contra sistemas elegidos, principalmente en Oriente Medio y Asia del
Sur. También se señala que el exploit que se está empleado necesita la interacción
del usuario para que este abra un documento Word adjunto específicamente
manipulado.

El ataque detectado trata de
explotar la vulnerabilidad mediante una imagen (en formato TIFF) diseñada para
ello e incrustada en el propio documento. El
exploit ataca un fallo de seguridad sin corregir en versiones antiguas de Office (con CVE-2013-3906) y el procesamiento gráfico de imágenes en Windows.
Según la información facilitada
por Microsoft el ataque combina múltiples técnicas para evitar las protecciones
DEP (Data Execution Prevention) y ASLR (Address Space Layout Randomization). Básicamente,
la tecnología DEP (Data Execution Prevention), permite marcar zonas de memoria
no ejecutables, ya presente en Windows XP SP2 se apoya en una característica en
las CPU conocida como bit NX; incluso en aquellas CPU que no implementen el bit
NX, DEP es capaz de ofrecer protección con funcionalidad reducida. ASLR (Adress
Space Layout Randomization) proporciona aleatoriedad en las direcciones del espacio
de memoria de un proceso, para dificultar la búsqueda de direcciones “interesantes” desde el punto de
vista del atacante.

Relleno de memoria “heap spray”Fuente: http://blogs.technet.com/b/srd/archive/2013/11.aspx

Concretamente el exploit realiza grandes
cantidades de relleno de memoria (“heap
spray”) mediante controles ActiveX (en vez de las habituales técnicas
de scripting), y usa “gadgets ROP”
(Return Oriented Programming) directamente incrustados para localizar páginas
ejecutables. Esto también implica que el exploit fallará en máquinas protegidas
con bloqueo de Controles ActiveX embebidos en documentos Office (lo que ocurre
por ejemplo en el modo Vista Protegida de Office 2010); o en equipos con una
versión diferente del módulo empleado para construir los “gadtgets ROP” estáticos.

Gadgets ROP inicialesFuente: http://blogs.technet.com/b/srd/archive/2013/11.aspx

Según la alerta
de Microsoft el ataque no afecta a Office 2013, pero sí que afecta a
versiones antiguas de la “suite”
ofimática de Microsoft, como Office 2003
y Office 2007. Debido a la forma en que Office 2010 emplea la librería gráfica
vulnerable, esta versión solo se ve afectada si se ejecuta sobre sistemas
antiguos como Windows XP o Windows Server 2003, pero Office 2010 no se ve
afectado cuando corre sobre Windows 7, 8 y 8.1.

Contramedidas disponibles

Microsoft ha publicado una
corrección temporal en forma de “Fix
it” que bloquea el ataque. Hay que señalar que este parche no corrige
la vulnerabilidad sino que aplica cambios que bloquean el tratamiento de los gráficos
que provocan el problema. El cambio realizado por este parche consiste en
añadir la siguiente clave en el registro:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Gdiplus\DisableTIFFCodec
= 1

Esta clave desactiva el codec TIFF, por lo que se elimina el soporte de
este formato gráfico. Por ello, Microsoft recomienda evaluar el impacto que
pueda tener esta contramedida.

Como otras contramedidas Microsoft recomienda la instalación de EMET
(Enhanced Mitigation Experience Toolkit). Esta herramienta permite que todas
las DLL cargadas por un programa sean obligadas a usar ASLR, por lo que serán
colocadas en lugares aleatorios de la memoria. Según Microsoft EMET bloqueará
el exploit con la activación de “Multiple ROP mitigations (StackPointer,
Caller, SimExec, MemProt)” (disponible en EMET 4.0) o “other
mitigations (MandatoryASLR, EAF, HeapSpray )” incluido en EMET 3.0 y 4.0. Otra
posibilidad es el uso del Modo Vista Protegida y bloquear los controles ActiveX
en documentos Office.

 

Más información:

Microsoft Security Advisory (2896666)

Vulnerability in Microsoft Graphics Component
Could Allow Remote Code Execution

http://technet.microsoft.com/en-us/security/advisory/2896666

CVE-2013-3906: a graphics vulnerability
exploited through Word documents

http://blogs.technet.com/b/srd/archive/2013/11.aspx

Antonio Ropero

antonior@hispasec.com

Twitter: @aropero

Enviado por gReader

Anuncios
Minientrada | Esta entrada fue publicada en Security, Virus, Windows. Guarda el enlace permanente.

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s