Microsoft confirmó el 7 de septiembre de 2021 que se había detectado una vulnerabilidad de ejecución remota de código (RCE) en Windows 10. La vulnerabilidad, clasificada como CVE-2021-40444 [1], puede permitir a los ciberdelincuentes obtener el control remoto de un sistema afectado y lanzar ataques de día cero en el mundo real.
El fallo se encuentra en MSHTML, un motor de renderizado del navegador Internet Explorer. Este motortambién se utiliza en documentos de Microsoft Office. Se sabe que el CVE-2021-40444 se está utilizando actualmente para distribuir cargas útiles de Cobalt Strike, un marco de emulación de amenazas que se explota con frecuencia.
Un investigador de EXPMON identificó esta vulnerabilidad de día cero por primera vez en un tuit, en el que advertía: «Los usuarios de Office deben extremar la precaución con los archivos de Office». El domingo 5 de septiembre notificó el incidente a Microsoft. Poco después, Microsoft publicó un aviso de seguridad en el que sugería soluciones provisionales mientras la empresa investigaba el asunto. El 14 de septiembre, Microsoft corrigió la vulnerabilidad [2].
Cómo aprovechan los atacantes la vulnerabilidad CVE-2021-40444
Los ciberdelincuentes pueden crear un control ActiveX malicioso dentro de un documento de Microsoft Office (.docx). Este documento actúa como host para el motor de renderizado del navegador MSTHML y un OLEObject que redirige a una página web creada ad hoc.
A continuación, el atacante tendría que engañar a su víctima para que abriera dicho documento. Al abrirlo, el motor MSTHML utilizará el control ActiveX para ejecutar un archivo HTML con scripts ofuscados, tras lo cual se procederá a la descarga de cargas útiles de malware o controles de acceso remoto.
Microsoft señaló que los usuarios con derechos de administrador son más vulnerables a este tipo de ataques que aquellos que carecen de ellos o que tienen menos derechos de usuario.
Medidas de mitigación y soluciones provisionales
Microsoft ha informado de que desactivar la instalación de todos los controles ActiveX en Internet Explorer puede ayudar a mitigar los ataques actuales. Esto se puede hacer configurando la política de grupo, actualizando el registro o utilizando el Editor de políticas de grupo local. Una vez desactivada esta opción, no se instalarán nuevos controles ActiveX, pero los controles ActiveX ya existentes seguirán funcionando.
Cómo la tecnología Deep CDR™ puede proteger contra los ataques de día cero
La tecnología de desactivación y reconstrucción de contenidos (CDR) puede ayudar a mitigar los riesgos asociados a esta vulnerabilidad. La tecnología Deep CDR™ parte de la base de que todos los archivos son maliciosos y, a continuación, los depura y reconstruye sus componentes para garantizar su plena funcionalidad con contenidos seguros. Esta tecnología es capaz de «desactivar» de forma eficaz todas las amenazas basadas en archivos, las amenazas complejas y las que detectan entornos de pruebas, así como aquellas equipadas con tecnología de evasión de malware, como el malware totalmente indetectable o la ofuscación.
En este caso, la tecnología Deep CDR™ elimina del archivo del documento todos los objetos potencialmente peligrosos, como los OLEObject y ActiveX. Tras la limpieza, el documento ya no contiene el enlace HTML malicioso.
Las amenazas detectadas por MetaDefender Cloud han sido analizadas, y los resultados respaldan la aplicación de medidas de desinfección:
Tras la desinfección, los resultados indican que el OLEObject se ha eliminado y que el archivo se puede abrir sin peligro:
Acerca de la tecnología Deep CDR™
La tecnología Deep CDR™ es líder en el mercado gracias a características superiores como el procesamiento de archivos en varios niveles, la precisión en la regeneración de archivos y la compatibilidad con más de 100 tipos de archivos. Nuestra tecnología ofrece una visión detallada de lo que se está limpiando y de cómo se limpian los datos, lo que le permite tomar decisiones fundamentadas y definir configuraciones que se adapten a sus necesidades específicas. ¿El resultado? Archivos seguros con el 100 % de las amenazas eliminadas en milisegundos, para que su flujo de trabajo no se vea interrumpido.
Para obtener más información sobre la tecnología Deep CDR™ y sobre cómo OPSWAT proteger a su organización, póngase en contacto con uno de nuestros expertos en ciberseguridad de infraestructuras críticas.
Referencias
[1] «Vulnerabilidad de ejecución remota de código en MSHTML de Microsoft». 2021. Centro de Respuesta de Seguridad de Microsoft. https://msrc.microsoft.com/upd...
[2] «Microsoft corrige una vulnerabilidad de ejecución remota de código (RCE) de día cero en MSHTML que estaba siendo explotada activamente (CVE-2021-40444)». 14 de septiembre de 2021. Help Net Security. https://www.helpnetsecurity.co...
