Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es
23/10/2014
Zero-day en OLE de Microsoft Windows
S’ha publicat una vulnerabilitat en Microsoft OLE que podria permetre l’execució de codi arbitrari, i estan afectades totes les versions actuals de Windows, llevat de Windows Server 2003.La vulnerabilitat identificada (assignada al CVE-2014-6352) podria permetre l’execució de codi arbitrari en els sistemes afectats per mitjà de l’obertura d’un arxiu de Microsoft Office, especialment preparat, que continga un objecte OLE (Object Linking and Embedding for Databases). Un potencial atacant que poguera explotar la vulnerabilitat de manera satisfactòria obtindrà la capacitat d’executar codi amb els mateixos privilegis que l’usuari víctima, per la qual cosa per als usuaris que disposen de privilegis menors l’impacte serà més reduït que l’impacte respecte als usuaris amb privilegis administratius sobre el sistema.
En les configuracions per defecte de Windows es requerix la interacció directa amb l’usuari, ja que l’UAC (User Account Control) sol·licitarà autorització expressa per a executar les accions de l’exploit. Addicionalment, cal destacar que l’usuari ha de ser enganyat, per exemple per mitjà d’un atac dirigit, per a obrir l’arxiu i així patir l’atac.
És important destacar que en l’actualitat s’han identificat atacs, encara que de forma limitada, que exploten la vulnerabilitat a través d’arxius de Microsoft Powerpoint.
Sistemes Afectats:- Windows Vista Service Pack 2
- Windows Vista x64 Edition Service Pack 2
- Windows Server 2008 for 32-bit Systems Service Pack 2
- Windows Server 2008 for x64-based Systems Service Pack 2
- Windows Server 2008 for Itanium-based Systems Service Pack 2
- Windows 7 for 32-bit Systems Service Pack 1
- Windows 7 for x64-based Systems Service Pack 1
- Windows Server 2008 R2 for x64-based Systems Service Pack 1
- Windows Server 2008 R2 for Itanium-based Systems Service Pack 1
- Windows 8 for 32-bit Systems
- Windows 8 for x64-based Systems
- Windows 8.1 for 32-bit Systems
- Windows 8.1 for x64-based Systems
- Windows Server 2012
- Windows Server 2012 R2
- Windows RT
- Windows RT 8.1
CVE-2014-6352
Solució:En l’actualitat, Microsoft no ha publicat butlletí de seguretat respecte d’això, per la qual cosa les actualitzacions que mitiguen la vulnerabilitat no s’instal·laran automatitzadament en el sistema. No obstant això, facilita solucions temporals (workaround) per a mitigar la vulnerabilitat, i en recomana encaridament la instal·lació. Concretament, les solucions comprenen un fix-it, que es pot descarregar en l'enllaç següent (en anglés):
https://support.microsoft.com/kb/3010060
Així com suggerix les accions preventives principals següents:
- No obrir arxius de Microsoft Powerpoint procedents de fonts desconegudes o no confiables.
- Mantindre habilitat l’UAC.
- Implementar l’Enhanced Experience Toolkit 5.0 i configurar Attack Surface Reduction.
Es facilita el detall sobre estes mesures i algunes d'addicionals en el report de Microsoft sobre això (en anglés):
https://technet.microsoft.com/library/security/3010060
Notes:Microsoft Security Advisory 3010060
https://technet.microsoft.com/library/security/3010060
Microsoft security advisory: Vulnerability in Microsoft OLE could allow remote code execution: October 21, 2014
https://support.microsoft.com/kb/3010060