Ataque MSHTML de día cero en Windows: ¡cómo no conseguir trampas explosivas! – Pura seguridad
Los detalles son raros hasta ahora, pero Microsoft advierte a los usuarios de Office sobre un error que se está sincronizando CVE-2021-40444, y descrito como Vulnerabilidad de ejecución remota de código en Microsoft MSHTML.
El error aún no se ha corregido, por lo que es una forma abreviada de día cero para «Los buenos estaban cero días por delante de los malos con un parche para esta vulnerabilidad».
En otras palabras, los ladrones fueron lo primero.
Por lo que sabemos, la traición funciona así:
Abres un archivo de Office con trampa explosiva desde Internet, ya sea a través de un archivo adjunto de correo electrónico o descargando un documento de un enlace web controlado por delincuentes.
El documento contiene un control ActiveX (código de complemento incrustado) que no debería tener acceso ilimitado a su computadora.
El código ActiveX activa el componente MSHTML de Windows, Se usa para mostrar páginas web, aprovecha una falla para obtener el mismo nivel de control que tendría directamente desde el escritorio de Windows y lo usa para implantar el malware que elija el atacante.
MSHTML no es un navegador completo en sí mismo, pero es el «motor web» central de Internet Explorer y se puede usar por sí solo para crear navegadores o aplicaciones similares a navegadores que muestran o desean mostrar archivos HTML.
Aunque HTML está más estrechamente relacionado con la navegación por Internet, muchas aplicaciones, además de los navegadores, lo encuentran útil para representar y mostrar contenido web, por ejemplo, como una forma conveniente y atractiva de presentar documentación y archivos de ayuda, o para completar y enviar tickets de soporte para los usuarios. .
Este concepto de “mini navegador reducido” no solo se encuentra en Windows, sino también en Android de Google y iOS de Apple, donde los componentes Blink y WebKit ofrecen la misma funcionalidad que MSHTML en plataformas Microsoft. Los productos de Mozilla como Firefox y Thunderbird se basan en una idea similar conocida como Gecko. Curiosamente, en iOS, Apple no solo usa WebKit como el núcleo de su propio navegador Safari, sino que también prescribe el uso de WebKit en navegadores o aplicaciones similares a navegadores de todos los demás proveedores. Debido a esto, Firefox en iOS es la única versión de este producto que no incluye Gecko; no tiene más remedio que usar WebKit en su lugar.
HTML no es solo para navegar
Esto significa que los errores en la representación HTML no solo afectan su navegador y sus actividades de navegación.
Los ciberdelincuentes a menudo tienen muchas formas diferentes de insertar un dispositivo virtual en las vulnerabilidades del código de representación web de su sistema operativo y, por lo tanto, buscar exploits sin que su navegador tenga que estar abierto.
Incluso si hay un error que no pueden controlar lo suficientemente de cerca como para apoderarse de su navegador, es posible que puedan encontrar otras aplicaciones en las que se puede abusar de la vulnerabilidad para no solo bloquear la aplicación, sino también explotarla para tomar el control y implantar malware.
Esto parece ser lo que está haciendo CVE-2021-40444 porque el ataque proviene de archivos de Office cargados en Word, Excel, etc., en lugar de páginas web que se ven directamente en su navegador.
Aunque Microsoft ya no recomienda el uso de Internet Explorer y en su lugar dice que «se alienta a los clientes a cambiar a Microsoft Edge», las características y fallas del motor de renderizado web MSHTML en el corazón de Internet Explorer siguen siendo parte del propio sistema operativo.
¿Qué tengo que hacer?
Evite abrir documentos que no esperaba. No se deje engañar por ver contenido solo porque un correo electrónico o un documento coincida con sus intereses, trabajo o investigación actual. Eso no prueba que el remitente realmente lo conozca o que se pueda confiar en él de alguna manera; es probable que esta información esté disponible públicamente a través de su sitio web de trabajo o sus propias publicaciones en las redes sociales.
No se deje engañar por dejar la Vista protegida de Office. De forma predeterminada, los documentos de Office recibidos a través de Internet (ya sea por correo electrónico o por Internet) se abren para que el contenido activo, como macros de Visual Basic y controles ActiveX, no se ejecuten. Si ve una barra amarilla en la parte superior de la página que le advierte que no se han activado partes potencialmente peligrosas del documento, no haga clic en eso. [Enable Content] Botón, especialmente si el texto del documento en sí lo «advierte».
Considere la posibilidad de aplicar la Vista protegida de forma permanente en todo el contenido externo. Los administradores del sistema pueden aplicar configuraciones en toda la red que impiden que alguien haga esto [Enable Content] Opción para escapar de la Vista protegida en Office. Idealmente, nunca debería tener que confiar en el llamado contenido activo en documentos externos, y evitará una amplia variedad de ataques si se impide activar completamente el contenido activo.
Deshabilite los controles ActiveX que utilizan el renderizador web MSHTML. Los administradores del sistema pueden hacer cumplir esto con configuraciones de registro en toda la red que evitan que los controles ActiveX recibidos en nuevos documentos funcionen, independientemente de si el documento está abierto en Vista protegida o no. Esto constituye la mitigación oficial de Microsoft de la vulnerabilidad CVE-2021-40444.
Deshabilite el uso de ActiveX en Office. Si no necesita ActiveX en Office, elimínelo por completo.
Esté atento a un parche de Microsoft. El próximo martes (14 de septiembre de 2021) es el martes de parche de septiembre de 2021; ¡Esperemos que Microsoft proporcione una solución completa para entonces!
AJUSTES DE POLÍTICA DE GRUPO Y ENTRADAS DE REGISTRO QUE PUEDE ENCONTRAR ÚTILES
1. Para neutralizar ActiveX en Internet Explorer (del cual MSHTML es el núcleo, como se explicó anteriormente), siga las instrucciones de modificación del registro en la propia Guía de actualización de seguridad de Microsoft para CVE-2021-40444.
Los clientes de Sophos que han realizado estos cambios pueden utilizar la herramienta Sophos Live Discover para buscar en su red equipos que no cumplieron con la mitigación con una consulta como esta:
SELECT name, type, data, datetime(mtime, 'unixepoch', 'localtime') AS registryWriteTime,CASE WHEN data="3" THEN 'ActiveX set to DISABLED as recommended by Microsoft' ELSE 'ActiveX setting does not match the Microsoft recommendation'END AS mitigationStatusFROM registryWHERE path LIKE 'HKEY_LOCAL_MACHINESOFTWAREPoliciesMicrosoftWindowsCurrentVersionInternet SettingsZones%1001' OR path LIKE 'HKEY_LOCAL_MACHINESOFTWAREPoliciesMicrosoftWindowsCurrentVersionInternet SettingsZones%1004'
2. En el Editor de políticas de grupo de Windows, busque las configuraciones que se enumeran a continuación.
Puede utilizar el … gpedit.msc aplicación para editar la política de grupo local en una computadora independiente, o la Group Policy Management Console aplicación si administra un dominio de Windows.
Tenga en cuenta que la siguiente configuración de VBA (VBA es la abreviatura de Visual Basic para Aplicacionestambién conocido como «Código de macro de Office») no ayudan directamente con la vulnerabilidad de día cero CVE-2021-40444, que se basa en ActiveX, pero vale la pena considerarla como una parte adicional de su postura de seguridad de Microsoft Office.
User Configuration > Administrative Templates > Microsoft Office 2016 > Security Settings > Disable All ActiveX <--if you don't need ActiveX Disable VBA for Office Applications <--if you can do without document macrosUser Configuration > Administrative Templates > Microsoft Excel 2016 > Excel Options > Security > Trust Center Block macros from running in Office files from the internetUser Configuration > Administrative Templates > Microsoft Excel 2016 > Excel Options > Security > Trust Center Block macros from running in Office files from the internet User Configuration > Administrative Templates > Microsoft Powerpoint 2016 > Powerpoint Options > Security > Trust Center Block macros from running in Office files from the internet User Configuration > Administrative Templates > Microsoft Word 2016 > Word Options > Security > Trust Center Block macros from running in Office files from the internet
Para administrar la configuración de Office anterior a través del Editor de políticas de grupo, debe tener la Plantillas administrativas para archivos de Office 365, Office 2019 y Office 2016 de Microsoft que no están instalados de forma predeterminada en los escritorios o servidores de Windows, incluso si ya ha instalado Office usted mismo.
Descargue el archivo anterior, extraiga el contenido en su escritorio u otra carpeta adecuada, luego copie el contenido del admx Directorio y sus subdirectorios en C:WindowsPolicy Definitions.
3. Si haces eso. quiero encender Desactivar todo ActiveX Opción en su propia computadora directamente sin usarla gpedit, y puede editar el registro de Windows usted mismo, puede crear la siguiente entrada:
HKEY_CURRENT_USER > SOFTWARE > Policies > Microsoft > <--these keys should already exist office > commmon > security > <--use "New - Key" to create these nested subkeys [DWORD] disableallactivex = 1 <--finally, use "New - DWORD (32-bit) Value"
4. Desde CMD.EXE (una ventana normal del símbolo del sistema), puede utilizar estos comandos para revisar y establecer la entrada de registro adecuada:
> reg query HKCUSOFTWAREPoliciesMicrosoftofficecommonsecurity ^ /v disableallactivex ERROR: The system was unable to find the specified registry key or value.> reg add HKCUSOFTWAREPoliciesMicrosoftofficecommonsecurity ^ /v disableallactivex ^ /t REG_DWORD /d 1The operation completed successfully.> reg query HKCUSOFTWAREPoliciesMicrosoftofficecommonsecurity ^ /v disableallactivex HKEY_CURRENT_USERSOFTWAREPoliciesMicrosoftofficecommonsecurity disableallactivex REG_DWORD 0x1
NOMBRE DE IDENTIFICACIÓN DE SOPHOS
Los productos de Sophos, incluidos los productos de protección de puntos finales, firewall y correo electrónico, pueden detectar y bloquear este exploit y el malware que lo acompaña.
Puede buscar los siguientes nombres en los registros de su producto:
Tenga en cuenta que el malware final entregado por los delincuentes puede variar de un ataque a otro, y tenga en cuenta que los específicos también Troj/Agent-* Las variantes de malware zombie enumeradas podrían entregarse de otras formas.
En otras palabras, tener un ataque Exp/2140444-A no conduciría necesariamente a Troj/Agent-BHRO o Troj/Agent-BHPO en su red mientras la presencia de Troj/Agent-BHRO o Troj/Agent-BHPO solo no necesariamente significaría la causa Exp/2140444-A.
Esta web utiliza cookies para que podamos ofrecerte la mejor experiencia de usuario posible. La información de las cookies se almacena en tu navegador y realiza funciones tales como reconocerte cuando vuelves a nuestra web o ayudar a nuestro equipo a comprender qué secciones de la web encuentras más interesantes y útiles.
Las cookies estrictamente necesarias tiene que activarse siempre para que podamos guardar tus preferencias de ajustes de cookies.
Estas Cookies son:
Sesión de usuario
Comentarios
Seguridad
Aceptación de Cookies
Si desactivas esta cookie no podremos guardar tus preferencias. Esto significa que cada vez que visites esta web tendrás que activar o desactivar las cookies de nuevo.
