Los analistas de seguridad advierten una vez más de otra vulnerabilidad de día cero en los productos de Microsoft después de que surgieran informes de explotación activa de CVE-2021-40444, una vulnerabilidad de ejecución remota de código (RCE) en el componente MSHTML de Internet Explorer (IE) en Windows 10 y varias versiones de Windows Server.
El día cero fue descubierto por investigadores de EXPMON y Mandiant, y puede explotarse creando un control ActiveX malicioso para ser utilizado por un documento de Microsoft Office 365 que aloja MSHTML (también conocido como Trident), el motor de renderizado utilizado por IE y reemplazado por EdgeHTML. en el navegador Edge más nuevo. Actualmente no hay ningún parche disponible.
Debido a que los documentos de Office descargados de Internet se abren en Vista protegida o Application Guard, los cuales mitigan el ataque, la explotación exitosa debe depender de convencer al objetivo de que abra el documento malicioso, momento en el que se activará la vulnerabilidad y un archivo malicioso. descargado al sistema de la víctima.
Los investigadores de Trend Micro que han estado rastreando la explotación y obtenido una serie de muestras de documentos para su análisis dijeron que en la actualidad, CVE-2021-40444 se está utilizando para entregar cargas útiles de Cobalt Strike, casi siempre un precursor de un ciberataque más amplio.
En un blog de asesoramiento, el equipo de Trend dijo: “Reiteramos nuestro consejo de larga data para evitar abrir archivos de fuentes inesperadas, lo que podría reducir considerablemente el riesgo de esta amenaza, ya que requiere que el usuario abra realmente el archivo malicioso”.
En un aviso de seguridad, Microsoft dijo que sus productos Defender Antivirus y Defender for Endpoint también podrán proporcionar detección y protección contra CVE-2021-40444 siempre que estén actualizados. Aquellos que administran actualizaciones deben seleccionar la compilación de detección 1.349.22.0 o más reciente e implementarla lo antes posible. El análisis de usuarios también mitiga la amenaza al deshabilitar la instalación de todos los controles ActiveX en IE.
En un comunicado, Microsoft dijo: “Una vez finalizada esta investigación, Microsoft tomará las medidas adecuadas para ayudar a proteger a nuestros clientes. Esto puede incluir proporcionar una actualización de seguridad a través de nuestro proceso de publicación mensual o proporcionar una actualización de seguridad fuera de ciclo, según las necesidades del cliente “.
Aaron Searle, gerente senior de relaciones públicas de Veritas, comentó: “La seguridad cibernética es el juego del gato y el ratón definitivo: los proveedores de software reparan un agujero y los malos actores encuentran otro para colarse.
“Para agravar el problema es que lleva tiempo desarrollar parches de seguridad que se instalen correctamente y no rompan nada. Sin duda, Microsoft está trabajando febrilmente para parchear esta nueva vulnerabilidad de MSHTML. Mientras tanto, las organizaciones deben depender del software de seguridad para evitar la explotación que, más a menudo de lo que nos gustaría ver, permite que el ransomware exitoso y otros ataques contra la integridad de los datos se escapen de sus redes.
“Por lo tanto, mientras que el software de seguridad es siempre una buena primera línea de defensa, incluso mientras esperan parches, las empresas deben operar bajo el supuesto de que se puede eludir.
“En el panorama de seguridad actual, todas las organizaciones necesitan un plan de respaldo, y eso debe incluir una protección de datos integral para recuperarse rápidamente cuando el ransomware u otras amenazas a los datos se infiltran”.
Sam Curry de Cybereason dijo que podría parecer que está abierta la temporada de días cero de Microsoft en este momento, pero dado el estatus de Microsoft como una de las compañías de software más ubicuas del mundo, esto no fue una sorpresa.
“Si eres un atacante y quieres víctimas, vas tras la huella más grande”, dijo. “Sin embargo, la respuesta no es utilizar un software más oscuro. En cambio, la lección quedó clara con los ataques de SolarWinds y Hafnium: implemente software, pero tenga en cuenta que está prestando confianza al proveedor. Suponga que incluso los proveedores y el software de confianza pueden verse comprometidos.
“Por lo tanto, conviértase en un experto en limitar el daño, detectar cuándo se abusa del software para hacer cosas que no debería hacer, y mejorar en encontrarlo y terminarlo. Microsoft debería hacer todo lo posible por reducir la incidencia de estos, pero la seguridad debería asumir que cualquier proveedor puede verse comprometido y estar preparado para esa eventualidad “.
La aparición de CVE-2021-40444 es la segunda vez en tantos meses que se han encontrado días cero en MSHTML. En su caída del martes de parches de agosto de 2021, Microsoft corrigió CVE-2021-34354, una falla críticamente calificada en MSHTML, que también habilitó RCE en sistemas comprometidos. La explotación exitosa de este error requiere un ataque algo complejo que, como -40444, requiere que el actor de la amenaza interactúe con el usuario.