Introducción
CVE-2024-30040 es una vulnerabilidad de omisión de características de seguridad que afecta a Microsoft 365 y las aplicaciones de Office. Un actor puede enviar un archivo de Microsoft Office manipulado al usuario objetivo, el cual, al ser abierto, explota la vulnerabilidad para ejecutar código arbitrario.
Microsoft ha observado exploits de prueba de concepto weaponizados en venta en foros criminales. Microsoft lanzó actualizaciones de seguridad para este problema el 14 de mayo de 2024. Microsoft Defender para Puntos de Extremo detecta actividad maliciosa resultante de explotar vulnerabilidades en Microsoft Office, incluida CVE-2024-30040.
Análisis
CVE-2024-30040 es una vulnerabilidad de omisión de características de seguridad en Microsoft 365 y las aplicaciones de Office. Explotar CVE-2024-30040 no requiere ningún acceso previo al sistema objetivo. Tras la explotación exitosa, el actor de amenazas puede ejecutar código arbitrario en el sistema objetivo con los permisos del usuario actualmente conectado.
CVE-2024-30040 omite las mitigaciones de enlace y incrustación de objetos (OLE) en Microsoft 365 y las aplicaciones de Office que protegen a los usuarios de controles COM/OLE vulnerables. Un actor de amenazas crea un archivo de Microsoft Office (por ejemplo, DOCX) que contiene un enlace OLE a un archivo HTML. El archivo HTML incluye una etiqueta meta HTML, que obliga al código JavaScript a ejecutarse en un contexto de seguridad alternativo. Cuando el usuario objetivo abre o previsualiza el archivo creado, el código JavaScript se ejecuta.
Como parte de la explotación, el exploit de prueba de concepto (PoC) que Microsoft observó en la naturaleza se comunica con un servidor de comando y control (C2) a través de HTTPS, descarga un archivo Java malicioso (JAR) y ejecuta ese archivo utilizando el Entorno de Ejecución de Java (JRE) instalado en el sistema objetivo con los permisos del usuario actualmente conectado. Sin embargo, el código JavaScript puede realizar otras acciones en el dispositivo.
Versiones Afectadas
Esta vulnerabilidad afecta a Microsoft 365 y las aplicaciones de Office en versiones de Windows actualizadas antes del 14 de mayo de 2024.
Recomendaciones
Microsoft lanzó actualizaciones de seguridad para este problema el 14 de mayo de 2024. Se insta a los clientes que aún no hayan actualizado a hacerlo lo antes posible para garantizar la seguridad de su organización.
Referencias
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-30040
https://nvd.nist.gov/vuln/detail/CVE-2024-30040