Tecnología

Microsoft corrige el error de día cero de Windows CVE-2021-40444 MSHTML

Microsoft corrige el error de día cero de Windows CVE-2021-40444 MSHTML

Microsoft solucionó hoy una vulnerabilidad de día cero de alta gravedad que se explota activamente en ataques dirigidos contra Microsoft Office y Office 365 en ordenadores con Windows 10.

La falla de seguridad de ejecución remota de código (RCE), rastreada como CVE-2021-40444, se encontró en el motor de renderizado del navegador MSHTML Internet Explorer utilizado por los documentos de Microsoft Office.

Según Microsoft, CVE-2021-40444 afecta a Windows Server 2008 a 2019 y Windows 8.1 o posterior, y tiene un nivel de gravedad de 8.8 de un máximo de 10.

“Microsoft ha publicado actualizaciones de seguridad para abordar esta vulnerabilidad”, dijo la empresa. dijo hoy en una actualización de asesoramiento publicado como parte del Patch Tuesday de este mes.

“Consulte la tabla de Actualizaciones de seguridad para conocer la actualización correspondiente a su sistema. Le recomendamos que instale estas actualizaciones de inmediato”.

Actualizaciones de seguridad publicadas después de omitir las defensas integradas

Los ataques dirigidos detectados por Microsoft intentaron aprovechar la vulnerabilidad enviando documentos de Office especialmente diseñados con controles ActiveX maliciosos a las víctimas potenciales.

Afortunadamente, estos ataques se frustraron si Microsoft Office se ejecutaba con la configuración predeterminada, que abre documentos que no son de confianza en el modo Vista protegida (o con Application Guard para los clientes de Office 365).

Sin embargo, como analista de vulnerabilidades del CERT / CC Will Dormann Más tarde le dijo a Bleeping Computer que esta protección incorporada contra las vulnerabilidades de seguridad CVE-2021-40444 probablemente sería omitida por los usuarios que ignoran las advertencias de Vista protegida o por los atacantes que entregan los documentos maliciosos incluidos en archivos 7Zip o contenedores ISO.

Si el documento está en un contenedor que es procesado por algo que no es compatible con MotW, entonces el hecho de que el contenedor se descargó de Internet será discutible. Por ejemplo, si 7Zip abre un archivo que proviene de Internet, el contenido extraído no indicará que provenga de Internet. Así que no hay MotW, no hay vista protegida.

De manera similar, si el documento está en un contenedor como un archivo ISO, un usuario de Windows puede simplemente hacer doble clic en el ISO para abrirlo. Pero Windows no trata los contenidos como si procedieran de Internet. Así que de nuevo, no MotW, no Protected View.

Este ataque es más peligroso que las macros porque cualquier organización que haya optado por deshabilitar o limitar la ejecución de macros seguirá estando abierta a la ejecución de código arbitrario simplemente como resultado de abrir un documento de Office. – Will Dormann

Además, Dormann también descubrió que los actores de amenazas podría aprovechar esta vulnerabilidad utilizando archivos RTF creados con fines malintencionados, que no se benefician de la función de seguridad Vista protegida de Office.

Documento de Word abierto en Vista protegida
Documento de Word abierto en Vista protegida

Cómo aplicar las actualizaciones de seguridad

Las actualizaciones de seguridad de hoy abordan la vulnerabilidad de todas las versiones afectadas de Windows e incluyen un Resumen mensual, a Actualización solo de seguridad, y un Actualización acumulativa de Internet Explorer.

“Los clientes que ejecutan Windows 8.1, Windows Server 2012 R2 o Windows Server 2012 pueden solicitar cualquiera el paquete acumulativo mensual o las actualizaciones solo de seguridad e IE acumulativas “, según Microsoft.

“El paquete acumulativo mensual para Windows 7, Windows Server 2008 R2 y Windows Server 2008 incluye la actualización para esta vulnerabilidad. Los clientes que aplican el paquete acumulativo mensual no necesitan aplicar la actualización acumulativa de IE.

“Los clientes que solo aplican actualizaciones de solo seguridad deben aplicar también la actualización acumulativa de IE para estar protegidos de esta vulnerabilidad”.

Bleeping Computer confirmó de forma independiente que los exploits CVE-2021-40444 conocidos ya no funcionan después de aplicar los parches de hoy.

Aquellos que no pueden aplicar inmediatamente las actualizaciones de seguridad de hoy deben implementar Soluciones alternativas de Microsoft (deshabilitando los controles ActiveX a través de la Política de grupo y la vista previa en el Explorador de Windows) para reducir la superficie de ataque.

Leave a Comment

You may also like

Más