Vulnerabilidad

Nueva vulnerabilidad detectada: CVE-2021-40444

14/09/2021
El 7 de setiembre Microsoft identificó la vulnerabilidad CVE-2021-40444 del tipo RCE (Remote Code Execution), que afecta al componente MSHTML de Internet Explorer existente en Microsoft Office.
vulnerabilidad

La vulnerabilidad detectada permite alojar y ejecutar librerías .DLL en el equipo de las personas y es utilizada para realizar ataques activamente a través de archivosOffice 365. Existen diversas pruebas de concepto públicas en Internet.

Detalles técnicos

Productos afectados:

  • Microsoft Windows todas las versiones

  • Microsoft Windows Server todas las versiones

La vulnerabilidad CVE-2021-40444 afecta al componente MSHTML de Internet Explorer de Microsoft Office. MSHTML es un componente que permite la previsualización de páginas web.

Quien ataca puede crear un control ActiveX malintencionado, para que lo utilice el motor de representación del navegador MSHTML en un documento de Microsoft Office. Para explotar la vulnerabilidad y que se ejecute el código arbitrario, se requiere la acción del usuario para abrir el archivo.

El documento malicioso contiene un llamado a un recurso .HTML, que tiene una pieza de código capaz de descargar diversos componentes, para ser posteriormente ejecutados utilizando un ataque de “path traversal”.

 

Remediación

Para la vulnerabilidad CVE-2021-40444 Microsoft liberó un parche de seguridad junto con los de setiembre. Recomendamos aplicarlos cuanto antes.

De forma predeterminada, los documentos de Office descargados de Internet se abren en vista protegida o a través de la función “Application Guard”, lo cual permite mitigar este tipo de ataques.

Microsoft Defender Antivirus y Microsoft Defender for Endpoint a partir de la compilación 1.349.22.0 o más reciente, proporcionan detección y protección para esta vulnerabilidad. Las alertas de Microsoft Defender para Endpoint se mostrarán como «Ejecución sospechosa de archivo Cpl» («Suspicious Cpl File Execution»).

 

Mitigación

Microsoft ha publicado algunos workarounds para mitigar temporalmente los riegos asociados:

  1. Deshabilitar los controles de ActiveX mediante Políticas de Grupo (GPO). Esta acción impide se instalen nuevos controles ActiveX. Los instalados anteriormente, seguirán ejecutándose.
  2. Deshabilitar los controles de ActiveX en un equipo especifico a través del registro de sistema de Windows. Esta acción impide se instalen nuevos controles ActiveX. Los instalados anteriormente, seguirán ejecutándose.
  3. Deshabilitar la vista previa en el explorador de Windows. Esta acción impide obtener una vista previa de los documentos en el explorador de Windows.

Recomendaciones

Microsoft liberó parches que contemplan la vulnerabilidad CVE-2021-40444, recomendamos aplicarlos lo antes posible.
Se recomienda extremar las precauciones al abrir documentos de Microsoft Office que no sean de absoluta confianza y tener instalado antivirus con su base de datos actualizada.

 

Referencias

Microsoft MSHTML Remote Code Execution Vulnerability

Ejecución remota de código en MSHTML de Microsoft

Remote Code Execution 0-Day (CVE-2021-40444) Hits Windows, Triggered Via Office Docs

Etiquetas

Amenazas y alertas Comunidad Técnica