Microsoft reveló ayer un error de seguridad Zero-Day en varios productos de Windows y Office, los cuales están siendo explotados activamente para obtener la ejecución remota de código a través de documentos maliciosos de Office.
"Microsoft está investigando informes de una serie de vulnerabilidades de ejecución remota de código que afectan a los productos de Windows y Office. Microsoft está al tanto de los ataques dirigidos que intentan explotar estas vulnerabilidades mediante el uso de documentos de Microsoft Office especialmente diseñados", dijo Redmond.
Los atacantes no autenticados pueden explotar la vulnerabilidad (registrada como CVE-2023-36884) en ataques de alta complejidad sin requerir la interacción del usuario. La explotación exitosa podría conducir a una pérdida total de confidencialidad, disponibilidad e integridad, lo que permitiría a los atacantes acceder a información confidencial, desactivar la protección del sistema y denegar el acceso al sistema comprometido.
"Un atacante podría crear un documento de Microsoft Office especialmente diseñado que le permita realizar la ejecución remota de código en el contexto de la víctima. Sin embargo, un atacante tendría que convencer a la víctima para que abra el archivo malicioso".
Si bien la falla aún no se soluciona, Microsoft dice que proporcionará a los clientes parches a través del proceso de lanzamiento mensual o una actualización de seguridad fuera de banda.
Medidas de mitigación disponibles
Hasta que los parches CVE-2023-36884 estén disponibles, Microsoft dice que los clientes que usan Defender para Office y aquellos que han habilitado la regla de reducción de superficie de ataque (ASR) "Bloquear todas las aplicaciones de Office para que no creen procesos secundarios" (Block all Office applications from creating child processes) están protegidos contra ataques de phishing que intentan explotar el error.
Quienes no utilicen estas protecciones pueden agregar los siguientes nombres de aplicación a la clave de registro:
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Internet
Explorer\Main\FeatureControl\FEATURE_BLOCK_CROSS_PROTOCOL_FILE_NAVIGATION
como valores de tipo REG_DWORD con 1:
- excel.exe
- Graph.exe
- MSAccess.exe
- MSPub.exe
- PowerPoint.exe
- Visio.exe
- WinProj.exe
- winword.exe
- wordpad.exe
Sin embargo, es importante tener en cuenta que configurar esta clave de registro para bloquear los intentos de explotación también puede afectar algunas funciones de Microsoft Office vinculadas a las aplicaciones enumeradas anteriormente.
Ataques explotados contra los asistentes a la Cumbre de la OTAN
En una publicación de blog separada, la compañía dice que el error CVE-2023-36884 fue explotado en ataques recientes dirigidos a organizaciones que asistieron a la Cumbre de la OTAN en Vilnius, Lituania.
Como se documenta en los informes publicados por el Equipo de Respuesta a Emergencias Informáticas de Ucrania (CERT-UA) y los investigadores del equipo de inteligencia de BlackBerry, los atacantes utilizaron documentos maliciosos que se hacían pasar por la organización del Congreso Mundial de Ucrania para instalar cargas útiles de malware, incluido el cargador MagicSpell y la puerta trasera RomCom.
"Si se explota con éxito, permite que un atacante realice un ataque basado en ejecución remota de código (RCE) a través de la elaboración de un documento .DOCX o .RTF malicioso diseñado para explotar la vulnerabilidad", dijeron los investigadores de seguridad de BlackBerry. "Esto se logra aprovechando el documento especialmente diseñado para ejecutar una versión vulnerable de MSDT, que a su vez permite que un atacante pase un comando a la utilidad para su ejecución. La última campaña del actor detectada en junio de 2023 involucró el abuso de CVE-2023-36884 para entregar una puerta trasera con similitudes con RomCom", dijo Microsoft también el martes.
Enlaces de RomCom al ransomware
RomCom es un grupo de ciberdelincuentes con sede en Rusia (también conocido como Storm-0978) conocido por participar en ataques de ransomware y extorsión junto con campañas centradas en el robo de credenciales, probablemente destinadas a respaldar operaciones de inteligencia, según Redmond.
La pandilla estuvo anteriormente vinculada a la operación de ransomware Industrial Spy, que ahora ha cambiado a ransomware llamado Underground [VirusTotal].
En mayo de 2022, mientras investigaba la identificación TOX y la dirección de correo electrónico en una nota de rescate de Industrial Spy, MalwareHunterTeam descubrió una asociación peculiar con la operación de ransomware Cuba. Observó que una muestra del ransomware Industrial Spy generó una nota de rescate con una ID TOX y una dirección de correo electrónico idénticas a las utilizadas por Cuba, así como enlaces al sitio de fuga de datos de Cuba.
Sin embargo, en lugar de dirigir a los usuarios al sitio de fuga de datos de Industrial Spy, el enlace proporcionado conducía al sitio Tor de Cuba Ransomware. Además, la nota de rescate usaba el mismo nombre de archivo, !! READ ME !!.txt, tal como se identificaron previamente las notas de rescate de Cuba.
Fuente: BC