Microsoft ha detectado un grave fallo de seguridad que afecta a todas las versiones de Microsoft Windows, con exclusión de Windows Server 2003. La vulnerabilidad podría permitir la ejecución remota de código si un usuario abre un archivo de Microsoft Office especialmente diseñado que contiene un objeto OLE para realizar acciones maliciosas.

Esta vulnerabilidad es peligrosa porque afecta a las últimas versiones de Windows totalmente parcheadas, aunque se necesita la interacción del usuario para aprovechar la vulnerabilidad. Una explotación exitosa conduciría al atacante a obtener los permisos y derechos del usuario actual.

De acuerdo con el Microsoft Security Advisory publicada el martes, la vulnerabilidad día cero (CVE-2014-6352) reside en el código del sistema operativo que se encarga de OLE. La tecnología OLE (Object Linking and Embedding) es la más comúnmente utilizada por Microsoft Office para incrustar datos, por ejemplo, una hoja de cálculo de Excel en un documento de Word, aunque por el momento solo se están aprovechando de PowerPoint.

También han confirmado que la falla de día cero está siendo activamente explotada por los piratas a través de ataques limitados y dirigidos que usan documentos maliciosos de PowerPoint enviados como adjuntos de correo electrónico, aunque todos los tipos de archivo de Office pueden ser utilizados para llevar a cabo mismo ataque.

Mientras tanto en un informe separado, la empresa de seguridad McAfee ha dicho que este ataque es parte de Sandworm llevado adelante por delincuentes rusos para espionaje en la crisis ucraniana. La operación Sandworm fue descubierto por iSIGHT Partners y se le había asignado el CVE-2014-4114 pero aparentemente Microsoft falló al desarrollar el parche original y esto permitió revelar este otro 0-Day.

Microsoft ya ha publicado una revisión de seguridad temporal (parche) para la falla que previene la explotación de la vulnerabilidad:

  • Microsoft Fix it 51026 “OLE packager Shim Workaround”: El Fix it está disponible para Microsoft PowerPoint en las ediciones de 32 bits y 64 bits basados de Microsoft Windows, con la excepción de las ediciones de 64 bits de PowerPoint en las ediciones x64 de Windows 8 y Windows 8.1.
  • Se recomienda no ejecutar ficheros de Microsoft Office que provengan de fuentes no confiables. Así mismo, con el fin de mitigar este fallo es recomendable habilitar control de cuentas de usuario (UAC) e instalar y configurar Enhanced Mitigation Experience Toolkit 5.

FUENTES

www.forospyware.com
blog.segu-info.com.ar