Blog gratis
Reportar
Editar
¡Crea tu blog!
Compartir
¡Sorpréndeme!
Blog de la Escuela de Educación Secundaria Técnica N 8 de Quilmes
Administrador Prof. Claudio Enrique Alonso Alvite
img
06 de Noviembre, 2013    General

Microsoft alerta de un 0-day en Office

Microsoft ha alertado de la existencia de una vulnerabilidad "0-day" que se está explotando activamente a través de documentos Word enviados por e-mail. También ha publicado un parche en forma de "Fix it" para bloquear el ataque mientras terminan la actualización definitiva. 

Según ha informado Microsoft los ataques se han observado de manera muy limitada y de forma cuidadosamente realizada contra sistemas elegidos, principalmente en Oriente Medio y Asia del Sur. También se señala que el exploit que se está empleado necesita la interacción del usuario para que este abra un documento Word adjunto específicamente manipulado.

El ataque detectado trata de explotar la vulnerabilidad mediante una imagen (en formato TIFF) diseñada para ello e incrustada en el propio documento. El exploit ataca un fallo de seguridad sin corregir en versiones antiguas de Office (con CVE-2013-3906) y el procesamiento gráfico de imágenes en Windows.

Según la información facilitada por Microsoft el ataque combina múltiples técnicas para evitar las protecciones DEP (Data Execution Prevention) y ASLR (Address Space Layout Randomization). Básicamente, la tecnología DEP (Data Execution Prevention), permite marcar zonas de memoria no ejecutables, ya presente en Windows XP SP2 se apoya en una característica en las CPU conocida como bit NX; incluso en aquellas CPU que no implementen el bit NX, DEP es capaz de ofrecer protección con funcionalidad reducida. ASLR (Adress Space Layout Randomization) proporciona aleatoriedad en las direcciones del espacio de memoria de un proceso, para dificultar la búsqueda de direcciones "interesantes" desde el punto de vista del atacante.

Relleno de memoria "heap spray"
Fuente: http://blogs.technet.com/b/srd/archive/2013/11.aspx
Concretamente el exploit realiza grandes cantidades de relleno de memoria ("heap spray") mediante controles ActiveX (en vez de las habituales técnicas de scripting), y usa "gadgets ROP" (Return Oriented Programming) directamente incrustados para localizar páginas ejecutables. Esto también implica que el exploit fallará en máquinas protegidas con bloqueo de Controles ActiveX embebidos en documentos Office (lo que ocurre por ejemplo en el modo Vista Protegida de Office 2010); o en equipos con una versión diferente del módulo empleado para construir los "gadtgets ROP" estáticos.

Gadgets ROP iniciales
Fuente: http://blogs.technet.com/b/srd/archive/2013/11.aspx
Según la alerta de Microsoft el ataque no afecta a Office 2013, pero sí que afecta a versiones antiguas de la "suite" ofimática de Microsoft, como Office 2003 y Office 2007. Debido a la forma en que Office 2010 emplea la librería gráfica vulnerable, esta versión solo se ve afectada si se ejecuta sobre sistemas antiguos como Windows XP o Windows Server 2003, pero Office 2010 no se ve afectado cuando corre sobre Windows 7, 8 y 8.1.

Contramedidas disponibles

Microsoft ha publicado una corrección temporal en forma de "Fix it" que bloquea el ataque. Hay que señalar que este parche no corrige la vulnerabilidad sino que aplica cambios que bloquean el tratamiento de los gráficos que provocan el problema. El cambio realizado por este parche consiste en añadir la siguiente clave en el registro:

HKEY_LOCAL_MACHINESOFTWAREMicrosoftGdiplusDisableTIFFCodec = 1

Esta clave desactiva el codec TIFF, por lo que se elimina el soporte de este formato gráfico. Por ello, Microsoft recomienda evaluar el impacto que pueda tener esta contramedida.

Como otras contramedidas Microsoft recomienda la instalación de EMET (Enhanced Mitigation Experience Toolkit). Esta herramienta permite que todas las DLL cargadas por un programa sean obligadas a usar ASLR, por lo que serán colocadas en lugares aleatorios de la memoria. Según Microsoft EMET bloqueará el exploit con la activación de "Multiple ROP mitigations (StackPointer, Caller, SimExec, MemProt)" (disponible en EMET 4.0) o "other mitigations (MandatoryASLR, EAF, HeapSpray )" incluido en EMET 3.0 y 4.0. Otra posibilidad es el uso del Modo Vista Protegida y bloquear los controles ActiveX en documentos Office.
  
Más información:

Microsoft Security Advisory (2896666)
Vulnerability in Microsoft Graphics Component Could Allow Remote Code Execution

CVE-2013-3906: a graphics vulnerability exploited through Word documents


Antonio Ropero
Twitter: @aropero
Palabras claves , , ,
publicado por alonsoclaudio a las 23:00 · Sin comentarios  ·  Recomendar
 
Más sobre este tema ·  Participar
Comentarios (0) ·  Enviar comentario
Enviar comentario

Nombre:

E-Mail (no será publicado):

Sitio Web (opcional):

Recordar mis datos.
Escriba el código que visualiza en la imagen Escriba el código [Regenerar]:
Formato de texto permitido: <b>Negrita</b>, <i>Cursiva</i>, <u>Subrayado</u>,
<li>· Lista</li>
CALENDARIO
Ver mes anterior Marzo 2024 Ver mes siguiente
DOLUMAMIJUVISA
12
3456789
10111213141516
17181920212223
24252627282930
31
BUSCADOR
Blog   Web
TÓPICOS
» General (2606)
NUBE DE TAGS  [?]
SECCIONES
» Inicio
ENLACES
MÁS LEÍDOS
» Analizando el LiveBox 2.1 de Orange
» Cómo espiar WhatsApp
» Cómo usar Metashield protector for Client y por qué utilizarlo
» Detectando tráfico de conexiones HTTP inversas de Meterpreter (Snort)
» Ejecución remota de código arbitrario en OpenSSH
» Ganar dinero con 1.200 Millones de identidades robadas
» Hardware y sus 4 Funcionamientos Basicos y Principales en una Computadora
» Redes de la Deep Web: CJDNS y la Red Hyperboria
» Unidad Central de Procesamiento CPU
» Wassap, la aplicación que permite usar WhatsApp desde la PC
SE COMENTA...
» Cómo espiar WhatsApp
595 Comentarios: Scott, Scott, Jarlinson mercy, [...] ...
» Qué hacer ante el robo de un teléfono móvil o una tableta
2 Comentarios: best buy security cameras swann, best buy security cameras swann
» Espiando usuarios gracias a la vulnerabilidad en cámaras TRENDnet
1 Comentario: Coin
» Recopilatorio de aplicaciones y sistemas vulnerables para practicar
2 Comentarios: vera rodrigez ...
» SoftPerfect WiFi Guard permite saber quién esta conectado a mi WiFi
2 Comentarios: firdous ...
SOBRE MÍ
FOTO

Prof. Claudio Enrique Alonso Alvite



» Ver perfil

AL MARGEN
Escuela de Educacion Secundaria Tecnica N 8 de Quilmes
(Técnicos en Informática Personal y Profesional)
FULLServices Network | Blogger | Privacidad