Exploit Zero Day en Microsoft. Aquí algunas contramedidas

Zero Day Exploit
Una vulnerabilidad en Microsoft OLE podría permitir la ejecución arbitraria de código remoto. Te contamos de que va y como puedes protegerte.

Una nueva vulnerabilidad para la cual aun no hay parche se esta utilizando para vulnerar los sistemas basados en Microsoft. La vulnerabilidad es explotada a través de archivos de PowerPoint especialmente modificados con un objeto OLE (Object Linking and Embedding) malicioso. Esta vulnerabilidad afecta a todas las versiones de Windows con los últimos parches y podría permitir al atacante obtener los mismos privilegios del usuario que esta ejecutando el sistema.

La plataforma OLE fue diseñada para permitirnos incorporar un objeto (Por ejemplo una hoja de Excel) dentro de otro (Por ejemplo una presentación de PowerPoint) y poder visualizarlo de manera transparente para el usuario.Ya esta plataforma  ha sido explotada por los cibercriminales anteriormente, sin embargo, estas vulnerabilidades estaban presente solo en algunas versiones de Windows. Lo peligroso de esta es que afecta a todas las versiones inclusive con las últimas revisiones.

Para explotar la vulnerabilidad se requiere intervención del usuario, por lo que la primera recomendación es Evitar Abrir Archivos de Fuentes NO Confiables.

Un atacante podría, por ejemplo, enviar por correo electrónico un archivo especialmente diseñado para este fin. Para que la explotación sea exitosa, el atacante debe convencer al usuario que abra el archivo en cuestión. Según reportan en Microsoft, aunque la vulnerabilidad esta siendo explotada a través de archivos de PowerPoint, cualquier archivo de Office así como de otras suites de terceros podría contener el Objeto OLE malicioso.

Quizás te interese:   POODLE, una no tan simpática vulnerabilidad de seguridad

Estrategias de Mitigación

Microsoft recomienda utilizar el UAC (User Account Control) ya que en los ataques observados, el sistema advierte al usuario con el cuadro de dialogo de elevación antes de que el archivo sea ejecutado:

image_thumb11

Para que el ataque tenga éxito, el usuario debe aceptar esta petición, por lo que se recomienda mantener el UAC activo y estar pendiente de las solicitudes de elevación.

Ya que el atacante puede obtener los privilegios del usuario que esta ejecutando el sistema, otra recomendación es usar cuentas con privilegios reducidos en el caso de que no se cuente con UAC (Versiones previas a Windows Vista).

Otra estrategia recomendada es instalar el Enhanced Mitigation Experience Toolkit 5.0 (EMET) y configurar Attack Surface Reduction (ASR). Aquí te dejamos un manual (en ingles) del procedimiento.

Microsoft recomienda que todo archivo procedente de Internet sea abierto en la Vista Protegida. La Vista Protegida es una característica activa por defecto en la Suite de Office desde la versión 2010 que permite visualizar un archivo de manera segura disminuyendo el riesgo de explotación de vulnerabilidades de este tipo.

Dos tipos de Vista protegida

Como esta vulnerabilidad requiere intervención del usuario, es importante que estemos muy atentos a los sitios web que visitamos y los archivos que abrimos y validar que sean de confianza.

Microsoft esta trabajando para traernos un parche que solvente esta vulnerabilidad lo mas rápido posible.

Fuente: TechNet

Añadir Comentario

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.