Hallada una vulnerabilidad que llevaba 17 años presente en Microsoft Office

Hallada una vulnerabilidad que llevaba 17 años presente en Microsoft Office

En la actualidad hay muchísimos desarrollos de software veteranos, esto abre la puerta a que se encuentren en ellos bugs y fallos de seguridad que llevan presentes años o, en algunos casos, incluso casi dos décadas.

Es lo que le ha pasado a la suite ofimática Microsoft Office, a la que se le ha encontrado un problema de seguridad cuyo origen es un componente que permite a los atacantes instalar malware de forma remota sin necesidad de que el usuario dé su consentimiento.

Siendo más concretos, la vulnerabilidad es una corrupción de memoria en la característica Dynamic Data Exchange (DDE), que no fue parcheada en su momento y lleva presente en Microsoft Office desde hace 17 años. Puede ser ejecutada sobre todas las versiones de la suite publicadas desde entonces, incluso Office 365, y funciona sobre cualquier versión de Windows, incluyendo el más reciente Windows 10 Creators Update.

Descubierta por la empresa investigadora en seguridad Embedi, la vulnerabilidad abre la puerta a la ejecución de código en remoto, permitiendo a un atacante no autenticado ejecutar código malicioso sobre el sistema objetivo sin requerir de interacción con el usuario, solo necesitando que se abra un documento de Office malicioso específicamente diseñado que la explote. Identificada como con el código CVE-2017-11882, reside en el ejecutable EQNEDT32.EXE, un componente de Microsoft Office responsable de la inserción y la edición de ecuaciones en forma de objetos OLE dentro de los documentos.

El componente falla a la hora de manejar objetos de forma correcta en la memoria, obteniendo como resultado una corrupción que puede ser aprovechada por un atacante para ejecutar código malicioso en el contexto del usuario. Introducido en Microsoft Office 2000, el gigante de Redmond ha mantenido el ejecutable EQNEDT32.EXE con el fin de ofrecer una buena compatibilidad con documentos antiguos, algo que cobró aún más importancia tras la llegada de Microsoft Office 2007 y el nuevo formato OOXML (DOCX, XLSX… ).

Microsoft parcheó esta vulnerabilidad anteayer tras liberar su paquete mensual de actualizaciones de seguridad, así que sería conveniente su aplicación cuanto antes para eliminarla. Por otro lado, se puede reforzar la seguridad mediante la habilitación del sandbox de Microsoft Office, Vista Protegida, y la ejecución de los siguientes comandos que inhabilitan el registro del componente en el Registro de Windows:

reg add "HKLM\SOFTWARE\Microsoft\Office\Common\COM Compatibility\{0002CE02-0000-0000-C000-000000000046}" /v "Compatibility Flags" /t REG_DWORD /d 0x400

En caso de usar Office de 32 bits sobre un Windows de 64 bits, el comando sería el siguiente:

reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Office\Common\COM Compatibility\{0002CE02-0000-0000-C000-000000000046}" /v "Compatibility Flags" /t REG_DWORD /d 0x400

Fuente: The Hacker News

via MuySeguridad

No hay comentarios