Microsoft alerta de un 0-day en Office

Microsoft ha alertado de la existencia de una vulnerabilidad “0-day” que

se está explotando activamente a través de documentos Word enviados por
e-mail. También ha publicado un parche en forma de “Fix it” para
bloquear el ataque mientras terminan la actualización definitiva.

Según ha informado Microsoft los ataques se han observado de manera muy
limitada y de forma cuidadosamente realizada contra sistemas elegidos,
principalmente en Oriente Medio y Asia del Sur. También se señala que el
exploit que se está empleado necesita la interacción del usuario para
que este abra un documento Word adjunto específicamente manipulado.

El ataque detectado trata de explotar la vulnerabilidad mediante una
imagen (en formato TIFF) diseñada para ello e incrustada en el propio
documento. El exploit ataca un fallo de seguridad sin corregir en
versiones antiguas de Office (con CVE-2013-3906) y el procesamiento
gráfico de imágenes en Windows.

Según la información facilitada por Microsoft el ataque combina
múltiples técnicas para evitar las protecciones DEP (Data Execution
Prevention) y ASLR (Address Space Layout Randomization). Básicamente, la
tecnología DEP (Data Execution Prevention), permite marcar zonas de
memoria no ejecutables, ya presente en Windows XP SP2 se apoya en una
característica en las CPU conocida como bit NX; incluso en aquellas CPU
que no implementen el bit NX, DEP es capaz de ofrecer protección con
funcionalidad reducida. ASLR (Adress Space Layout Randomization)
proporciona aleatoriedad en las direcciones del espacio de memoria de un
proceso, para dificultar la búsqueda de direcciones “interesantes” desde
el punto de vista del atacante.

Concretamente el exploit realiza grandes cantidades de relleno de
memoria (“heap spray”) mediante controles ActiveX (en vez de las
habituales técnicas de scripting), y usa “gadgets ROP” (Return Oriented
Programming) directamente incrustados para localizar páginas
ejecutables. Esto también implica que el exploit fallará en máquinas
protegidas con bloqueo de Controles ActiveX embebidos en documentos
Office (lo que ocurre por ejemplo en el modo Vista Protegida de Office
2010); o en equipos con una versión diferente del módulo empleado para
construir los “gadtgets ROP” estáticos.

Según la alerta de Microsoft el ataque no afecta a Office 2013, pero sí
que afecta a versiones antiguas de la “suite” ofimática de Microsoft,
como Office 2003 y Office 2007. Debido a la forma en que Office 2010
emplea la librería gráfica vulnerable, esta versión solo se ve afectada
si se ejecuta sobre sistemas antiguos como Windows XP o Windows Server
2003, pero Office 2010 no se ve afectado cuando corre sobre Windows 7, 8
y 8.1.

Contramedidas disponibles

Microsoft ha publicado una corrección temporal en forma de “Fix it” que
bloquea el ataque. Hay que señalar que este parche no corrige la
vulnerabilidad sino que aplica cambios que bloquean el tratamiento de
los gráficos que provocan el problema. El cambio realizado por este
parche consiste en añadir la siguiente clave en el registro:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Gdiplus\DisableTIFFCodec = 1

Esta clave desactiva el codec TIFF, por lo que se elimina el soporte de
este formato gráfico. Por ello, Microsoft recomienda evaluar el impacto
que pueda tener esta contramedida.

Como otras contramedidas Microsoft recomienda la instalación de EMET
(Enhanced Mitigation Experience Toolkit). Esta herramienta permite que
todas las DLL cargadas por un programa sean obligadas a usar ASLR, por
lo que serán colocadas en lugares aleatorios de la memoria. Según
Microsoft EMET bloqueará el exploit con la activación de “Multiple ROP
mitigations (StackPointer, Caller, SimExec, MemProt)” (disponible en
EMET 4.0) o “other mitigations (MandatoryASLR, EAF, HeapSpray )”
incluido en EMET 3.0 y 4.0. Otra posibilidad es el uso del Modo Vista
Protegida y bloquear los controles ActiveX en documentos Office.
 Fuente