SophosLabs Uncut

Ataque MSHTML de día cero de Windows ¿cómo defenderse?

Los detalles son escasos por ahora, pero Microsoft advierte a los usuarios de Office sobre una vulnerabilidad denominada CVE-2021-40444 y descrita como una vulnerabilidad de ejecución remota de código MSHTML de Microsoft.

La vulnerabilidad aún no tiene un parche, pero se trata de un día cero lo que supone que “los buenos disponen de cero días por delante de los malos para implementar un parche para esta vulnerabilidad”. En otras palabras: los ciberdelincuentes llegaron primero.

Por lo que sabemos, la vulnerabilidad funciona así:

  • Abre un archivo de Office malicioso desde Internet, ya sea a través de un archivo adjunto en un correo electrónico o descargando un documento desde un enlace web controlado por ciberdelincuentes.
  • El documento incluye un control ActiveX (incrustado como un código de complemento) que no debería tener acceso ilimitado a tu ordenador.
  • El código ActiveX activa el componente MSHTML de Windows, que se utiliza para ver páginas web, aprovecha un error para darse el mismo nivel de control que tendrías desde el escritorio de Windows y lo utiliza para implantar el malware que elija el atacante.

MSHTML no es un navegador completo, como Internet Explorer o Edge, pero es una parte del sistema operativo que se puede usar para crear navegadores o aplicaciones similares a navegadores que necesitan o quieren mostrar archivos HTML.

Aunque HTML está más asociado con la navegación web, muchas aplicaciones, además de los navegadores, encuentran útil poder representar y mostrar contenido web, por ejemplo, como una forma conveniente y atractiva de presentar documentación y archivos de ayuda, o para permitir a los usuarios rellenar y enviar tickets de soporte.

Este concepto de “miniexplorador simplificado” se puede encontrar no solo en Windows, sino también en Android de Google y iOS de Apple, donde los componentes Blink y WebKit, respectivamente, proporcionan el mismo tipo de funcionalidad que MSHTML en las plataformas de Microsoft. Los productos de Mozilla como Firefox y Thunderbird se basan en una idea similar, conocida como Gecko. En iOS, curiosamente, Apple no solo usa WebKit como el núcleo de su propio navegador, Safari, sino que también exige el uso de WebKit en navegadores o aplicaciones similares a navegadores de todos los demás proveedores. Es por eso que Firefox en iOS es la única versión de ese producto que no incluye Gecko, no tiene más remedio que usar WebKit en su lugar.

HTML no sirve solo para navegar

Lo que esto significa es que las vulnerabilidades en HTML no solo afectan a tu navegador y su actividad de navegación y, por lo que, puede haber muchas formas diferentes de enviarte un enlace web poco fiable para que los ciberdelincuentes introduzcan malware en el código de representación web defectuoso.

Incluso si hay un error que no pueden controlar lo suficientemente de cerca como para controlar el navegador de su elección, es posible que puedan encontrar otras aplicaciones en las que la vulnerabilidad no solo se puede usar para bloquear la aplicación, sino también para explotarla para tomar el control e implantar malware.

Eso es lo que parece que hace CVE-2021-40444, con el ataque entregado a través de archivos de Office cargados en Word, Excel, etc., en lugar de a través de páginas web que se ven directamente en el navegador.

¿Qué hacer?

  • Evita abrir documentos que no esperabas. No te sientas tentado a mirar el contenido solo porque un correo electrónico o un documento coincida con tus intereses, tu línea de trabajo o tu investigación actual. Eso no prueba que el remitente realmente lo conozca, o que se pueda confiar en él de alguna manera; esa información probablemente esté disponible públicamente a través de su sitio web de trabajo o sus propias publicaciones en las redes sociales.
  • No te sientas tentado a escapar de la Vista protegida de Office. De forma predeterminada, los documentos de Office recibidos a través de Internet (ya sea por correo electrónico o web) se abren de una manera que evita que se ejecuten contenidos activos como macros de Visual Basic y controles ActiveX. Si ves una barra amarilla en la parte superior de la página, advirtiéndote que no se activaron partes potencialmente peligrosas del documento, resístete a hacer clic en el botón [Habilitar edición], ¡especialmente si el texto del documento en sí te “aconseja” que lo hagas!
  • Considera la posibilidad de aplicar la Vista protegida de forma permanente para todo el contenido externo. Los administradores del sistema pueden imponer configuraciones en toda la red que impiden que cualquier persona use la opción [Activar edición] para escapar de la Vista protegida en Office. Idealmente, nunca deberías necesitar confiar en el llamado contenido activo en documentos externos, y eludir una amplia gama de ataques si evita que esto suceda por completo.
  • Deshabilita los controles ActiveX que utilizan el renderizador web MSHTML. Los administradores de sistemas pueden hacer cumplir esto con la configuración de registro de toda la red que impide que los controles ActiveX que tienen los nuevos documentos funcionen, independientemente de si el documento se abre en Vista protegida o no. Esta solución evita específicamente que se aproveche la vulnerabilidad CVE-2021-40444.
  • Deshabilita el uso de ActiveX en Office. Si no necesitas ActiveX en Office, esto ayuda no solo a detener este ataque, sino también a bloquear el abuso de ActiveX en otras amenazas transmitidas por Office.
  • Mantén los ojos bien abiertos en busca de un parche de Microsoft. El próximo martes (14/9/2021) es el martes de parches de septiembre de 2021. ¡Esperemos que Microsoft tenga lista una solución completa antes o para esa fecha!

AJUSTES DE POLÍTICA DE GRUPO Y DE REGISTRO QUE PUEDES ENCONTRAR ÚTILES

  1. Para neutralizar ActiveX dentro de Internet Explorer (del cual MSHTML forma el núcleo, como se explicó anteriormente), sigue las instrucciones de modificación del registro de la propia Guía de actualización de seguridad de Microsoft para CVE-2021.40444.
  2. En el Editor de políticas de grupo de Windows, busca las configuraciones que se enumeran a continuación.

Puedes usar la aplicación gpedit.msc para editar la Política de grupo local en un ordenador independiente, o la aplicación Consola de administración de políticas de grupo si estás administrando un dominio de Windows.

Ten en cuenta que la configuración de VBA que mostramos a continuación (VBA es la abreviatura de Visual Basic para aplicaciones, también conocido como “código de macro de Office”) no ayuda directamente con el agujero de día cero CVE-2021-40444, que se basa en ActiveX, pero vale la pena considerarlo como una parte adicional de su postura de seguridad de Microsoft Office.

User Configuration > Administrative Templates > 
   Microsoft Office 2016 > Security Settings >
      Disable All ActiveX                 <--if you don't need ActiveX
      Disable VBA for Office Applications <--if you can do without document macros

User Configuration > Administrative Templates >
   Microsoft Excel 2016 > Excel Options > Security > Trust Center
      Block macros from running in Office files from the internet

User Configuration > Administrative Templates >
   Microsoft Excel 2016 > Excel Options > Security > Trust Center
      Block macros from running in Office files from the internet
      
User Configuration > Administrative Templates >
   Microsoft Powerpoint 2016 > Powerpoint Options > Security > Trust Center
      Block macros from running in Office files from the internet   

User Configuration > Administrative Templates >
   Microsoft Word 2016 > Word Options > Security > Trust Center
      Block macros from running in Office files from the internet   

Para administrar la configuración de Office anterior a través del editor de políticas de grupo, deberás instalar las plantillas administrativas para los archivos de Office 365, Office 2019 y Office 2016 de Microsoft, que no se instalan de forma predeterminada en los escritorios o servidores de Windows, incluso si tienes Office ya instalado. Descarga el archivo anterior e instale el contenido en C:\Windows\Policy Definitions.

  1. Si deseas activar la opción Deshabilitar todo Active X en tu propio ordenador directamente sin usar gpedit, y te sientes cómodo editando el registro de Windows tú mismo, puedes crear la siguiente entrada:
HKEY_CURRENT_USER > SOFTWARE > Policies > Microsoft >   <--these keys should already exist

office > commmon > security >                        <--use "New - Key" to create these nested subkeys

[DWORD] disableallactivex = 1                     <--finally, use "New - DWORD (32-bit) Value"
  1. Desde CMD.EXE (una ventana de símbolo del sistema), puedes usar estos comandos para verificar y configurar la entrada de registro relevante:
> reg query HKCU\SOFTWARE\Policies\Microsoft\office\common\security ^

/v disableallactivex

ERROR: The system was unable to find the specified registry key or value.




> reg add HKCU\SOFTWARE\Policies\Microsoft\office\common\security ^

/v disableallactivex ^

/t REG_DWORD /d 1

The operation completed successfully.




> reg query HKCU\SOFTWARE\Policies\Microsoft\office\common\security ^

/v disableallactivex

HKEY_CURRENT_USER\SOFTWARE\Policies\Microsoft\office\common\security

disableallactivex    REG

Dejar un comentario

Your email address will not be published.