Microsoft ha revelado un día cero de ejecución remota de código (RCE) potencialmente grave bajo explotación activa, por parte de un grupo con presuntos vínculos con los servicios de inteligencia rusos, entre más de otras 100 vulnerabilidades en su actualización del martes de parches de julio, pero la compañía aún no lo ha hecho. emitió un parche real para ello.
Aunque no se considera una vulnerabilidad crítica, el uso de la falla por parte de un grupo que Microsoft está rastreando como Storm-0978, también conocido como RomCom por su malware de puerta trasera, parece haber llevado a los equipos de seguridad de Redmond a tomar medidas preventivas.
La vulnerabilidad en cuestión se rastrea como CVE-2023-36884. Afecta a un total de 41 productos, incluidas varias versiones de Windows, Windows Server y Office, y se puede explotar con éxito utilizando un documento de Word especialmente diseñado que permitiría a un actor no autorizado lograr capacidades de RCE en el contexto de su víctima. si se puede convencer a la víctima para que abra el archivo malicioso.
Microsoft dijo: “Al finalizar esta investigación, Microsoft tomará las medidas apropiadas para ayudar a proteger a nuestros clientes. Esto podría incluir proporcionar una actualización de seguridad a través de nuestro proceso de lanzamiento mensual o proporcionar una actualización de seguridad fuera de ciclo, según las necesidades del cliente”.
Se sabe que Storm-0978 ha llevado a cabo ataques de ransomware oportunistas y motivados financieramente utilizando el casillero subterráneo y operaciones solo de extorsión, así como operaciones específicas de recopilación de credenciales, lo que sugiere que opera en apoyo de los objetivos de inteligencia rusos.
Ha alcanzado múltiples objetivos gubernamentales y militares, muchos en Ucrania, así como organizaciones en toda Europa y América del Norte. Sus atractivos actuales se centran en gran medida en los asuntos políticos de Ucrania, sobre todo en los intentos de Kiev de unirse a la alianza de la OTAN.
Microsoft ha publicado una lista de mitigaciones para que los equipos de seguridad disminuyan el impacto potencial de Storm-0978. Para CVE-2023-36884 específicamente, se recomienda el uso de la regla de reducción de la superficie de ataque Bloquear todas las aplicaciones de Office para que no creen procesos secundarios o, si esto no se puede hacer, configurar la clave de registro FEATURE_BLOCK_CROSS_PROTOCOL_FILE_NAVIGATION para evitar la explotación, aunque hacerlo puede causar algunos problemas de funcionalidad. Tenga en cuenta que los usuarios de Microsoft Defender para Office 365 ahora están protegidos contra archivos adjuntos maliciosos que explotan el error.
El jefe de vulnerabilidad y gestión de riesgos de Rapid7, Adam Barnett, dijo que muchos defensores estarían comprensiblemente inquietos por la falta de un parche inmediato.
“Si bien es posible que se emita un parche como parte del martes de parches del próximo mes, Microsoft Office se implementa en casi todas partes, y este actor de amenazas está haciendo olas; los administradores deben estar preparados para una actualización de seguridad fuera de ciclo para CVE-2023-26884”, dijo Barnett.
Los otros días cero en la actualización de julio se presentan en medio de un total de 130 vulnerabilidades diferentes abordadas este mes, un volumen significativamente más alto que en los últimos tiempos, pero según Dustin Childs de Zero Day Initiative, no necesariamente fuera de lo común dado que es probable que los chanchullos para continuar en la conferencia anual Black Hat USA, ahora a menos de un mes.
Los días cero son, en orden numérico CVE:
- CVE-2023-32046, una vulnerabilidad de elevación de privilegios (EoP) en la plataforma MSHTML de Windows;
- CVE-2023-32049, una vulnerabilidad de omisión de características de seguridad (SFB) en Windows SmartScreen;
- CVE-2023-35311, una vulnerabilidad SFB en Microsoft Outlook;
- CVE-2023-36874, una vulnerabilidad EoP en el Servicio de informes de errores de Windows.
Microsoft también emitió un aviso, pero no una designación CVE específica, para una campaña observada de controladores certificados por su Programa de desarrollo de hardware de Windows (MWHDP) que se utilizan maliciosamente en actividades posteriores a la explotación.
Esta campaña, en la que los atacantes obtuvieron privilegios de administrador en los sistemas comprometidos antes de usar los controladores, puede leerse como un sexto día cero, según la definición del término a la que se suscriba.
Microsoft ha estado investigando este problema desde que los investigadores de Sophos le informaron al respecto en febrero, con la ayuda de otros informes de Trend Micro y Cisco Talos.
Descubrió que varias cuentas de desarrolladores para el Centro de socios de Microsoft (MPC) habían estado enviando controladores maliciosos para obtener una firma de Microsoft. Todas estas cuentas de desarrollador y cuentas de vendedores asociados involucradas han sido suspendidas.
Se han publicado actualizaciones que desconfían de los controladores y los certificados de canto de controladores para los archivos afectados, y se han agregado detecciones de bloqueo a Microsoft Defender para proteger mejor a los clientes.
Christopher Budd Sophos X-Ops, director de investigación de amenazas, dijo: “Desde octubre del año pasado, hemos notado un aumento preocupante en los actores de amenazas que aprovechan los controladores maliciosos firmados para llevar a cabo varios ataques cibernéticos, incluido el ransomware. Creíamos que los atacantes continuarían aprovechando este vector de ataque, y así ha sido.
“Debido a que los controladores a menudo se comunican con el ‘núcleo’ del sistema operativo y se cargan antes que el software de seguridad, cuando se abusa de ellos, pueden ser particularmente efectivos para deshabilitar las protecciones de seguridad, especialmente cuando están firmados por una autoridad confiable. Muchos de los controladores maliciosos que hemos descubierto fueron diseñados específicamente para apuntar y eliminar EDR [Endpoint Detection and Response] productos, dejando a los sistemas afectados vulnerables a una variedad de actividades maliciosas”, dijo Budd.
“Obtener una firma para un controlador malicioso es difícil, por lo que esta técnica es utilizada principalmente por actores de amenazas avanzados en ataques dirigidos. Además, estos controladores en particular no son específicos del proveedor; están apuntando a una amplia gama de software EDR. Es por eso que la comunidad de seguridad en general debe ser consciente, para que puedan implementar protecciones adicionales cuando sea necesario. Es importante que las empresas implementen los parches que Microsoft lanzó hoy”, dijo.