CSIRTCV

Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es

23/10/2014

Zero-day en OLE de Microsoft Windows

Se ha publicado una vulnerabilidad en Microsoft OLE que podría permitir la ejecución de código arbitrario. Están afectadas todas las versiones actuales de Windows a excepción de Windows Server 2003.

Riesgo: Crítico

La vulnerabilidad identificada (asignada al CVE-2014-6352) podría permitir la ejecución de código arbitrario en los sistemas afectados mediante la apertura de un archivo de Microsoft Office especialmente preparado que contenga un objeto OLE (Object Linking and Embedding for Databases). Un potencial atacante que pudiera explotar la vulnerabilidad de forma satisfactoria obtendrá la capacidad de ejecutar código con los mismos privilegios que el usuario víctima, por lo que para los usuarios que dispongan de privilegios administrativos el impacto será mayor que para los usuarios no dispongan de ellos.

En las configuraciones por defecto de Windows se requiere la interacción directa con el usuario, ya que el UAC (User Account Control) solicitará autorización expresa para ejecutar las acciones del exploit. Adicionalmente destacar que el usuario debe ser engañado, por ejemplo mediante un ataque de Spear Phishing, para abrir el archivo y así sufrir el ataque.

Es importante destacar que en la actualidad se han identificado ataques, aunque de forma limitada, que explotan la vulnerabilidad a través de archivos de Microsoft Powerpoint.

Sistemas Afectados: Referencias:

CVE-2014-6352

Solución:

En la actualidad Microsoft no ha publicado boletín de seguridad al respecto, por lo que las actualizaciones que mitigan la vulnerabilidad no se instalarán automatizadamente en el sistema. Sin embargo, facilita soluciones temporales (workaround) para mitigar la vulnerabilidad, y recomienda su instalación. Concretamente las soluciones comprenden un fix-it, que se puede descargar en el siguiente enlace (en inglés):

https://support.microsoft.com/kb/3010060

Así como sugiere las siguientes acciones preventivas principales:

Se facilita detalle sobre éstas medidas y algunas adicionales en el reporte de Microsoft al respecto (en inglés):

https://technet.microsoft.com/library/security/3010060

Notas:

Microsoft Security Advisory 3010060

https://technet.microsoft.com/library/security/3010060

Microsoft security advisory: Vulnerability in Microsoft OLE could allow remote code execution: October 21, 2014

https://support.microsoft.com/kb/3010060

Fuente: Microsoft Technet

CSIRT-CV