Cobertura para CVE-2021-40444: ejecución remota de código MSHTML
Última modificación: 2023-07-21 16:32:49 Etc/GMT
Descargo de responsabilidad
Productos implicados
Idiomas:
Este artículo se encuentra disponible en los siguientes idiomas:
Découvrez comment un écosystème XDR qui s'adapte en permanence peut dynamiser votre entreprise.
Bryan Palma, CEO de Trellix, explica la imperiosa necesidad de contar con una seguridad que aprenda y evolucione.
Descargue el informe Magic Quadrant, que evalúa a los 19 proveedores en función de su amplitud de visión y capacidad de ejecución.
Según Gartner, "XDR es una tecnología emergente que ofrece funciones mejoradas de prevención, detección y respuesta a amenazas.".
¿A qué amenazas de ciberseguridad deberían prestar atención las empresas durante 2022?
En el sector de la ciberseguridad no hay tiempo para aburrirse y nunca ha habido un mejor momento para aceptar esta idea como una ventaja y un catalizador de la actividad empresarial.
Dos líderes reconocidos del mercado de la ciberseguridad han unido fuerzas para crear un mundo digital resiliente.
Bryan Palma, CEO de Trellix, explica la imperiosa necesidad de contar con una seguridad que aprenda y evolucione.
As of May 14, 2024, Knowledge Base (KB) articles will only be published and updated in our new Trellix Thrive Knowledge space.
Log in to the Thrive Portal using your OKTA credentials and start searching the new space. Legacy KB IDs are indexed and you will be able to find them easily just by typing the legacy KB ID.
Cobertura para CVE-2021-40444: ejecución remota de código MSHTML
Artículos técnicos ID:
KB94876
Última modificación: 2023-07-21 16:32:49 Etc/GMT Entorno
Sistemas operativos Microsoft Windows
Resumen
Actualizaciones recientes de este artículo
Para recibir una notificación por correo electrónico cuando se actualice este artículo, haga clic en Suscribirse en la parte derecha de la página. Para suscribirse debe haber iniciado sesión.
Estamos investigando un exploit de día cero, dirigido a la ejecución remota de código desde MSHTML, CVE-2021-40444. Microsoft ha informado del uso de este exploit en ataques dirigidos en la naturaleza. Hay varias formas de aprovechar la vulnerabilidad. En un escenario, un atacante debe convencer a un usuario para que descargue y abra un documento de Office malicioso que aprovecha los controles ActiveX dentro de Internet Explorer. De forma predeterminada, Microsoft Office abre documentos de Internet en Vista protegida o Protección de aplicaciones para Word, Excel y PowerPoint. Ambas mitigaciones evitan el exploit. Las pruebas más recientes muestran que el modo de vista previa es una solución alternativa para la interacción del usuario que normalmente sería necesaria para una explotación exitosa. Por ejemplo, si un atacante crea un archivo de formato de texto enriquecido (RTF) y el modo de vista previa está habilitado, el error podría activarse sin abrir el archivo. Deshabilitar el modo de vista previa tanto en el Explorador de Windows como en Microsoft Office podría ser efectivo aquí. Si bien los exploits actuales giran en torno a los archivos RTF y Microsoft Office Word, es posible que cualquier documento de Office pueda usarse para desencadenar la vulnerabilidad. Dado que Vista protegida y Protección de aplicaciones no son compatibles fuera de Word, Excel o PowerPoint, la única mitigación efectiva sería deshabilitar ActiveX por completo para Windows. Para mitigación y soluciones alternativas, consulte la Guía de actualización de seguridad de Microsoft (CVE-2021-40444). Motivo
CVE-2021-40444 se basa en un documento de Microsoft Office creado con fines malintencionados y se dirige a los controles ActiveX para invocar intencionalmente la ejecución remota de código desde MSHTML. Si bien se requiere la interacción del usuario, el conocimiento de los detalles del ataque puede ayudar a los administradores a identificarlo en su entorno. Los siguientes indicadores de compromiso (IOC, por sus siglas en inglés) han sido identificados como probablemente asociados con ataques en estado salvaje. Todos los IOC conocidos enumerados se han validado con el contenido DAT y Como práctica recomendada, configure las tareas de actualización del repositorio con un intervalo de actualización mínimo. Esta práctica asegura que se aplique contenido nuevo cuando lo publiquemos.
Trellix Global Threat Intelligence (GTI) también ha categorizado el tráfico de red asociado con los IOC. SHA256: Categoría: Phishing Clasificación: Alto riesgo hxxp://dodefoh[.]com hxxp://23.106.160[.]25 Categoría: PUP (programas potencialmente no deseados) Clasificación: Riesgo medio Solución
Recomendamos implementar contramedidas genéricas contra las amenazas de nivel de entrada. Para obtener más información, consulte: KB91836: contramedidas para amenazas de vectores de entrada. De los pasos recomendados descritos en el artículo, se ha demostrado cierto éxito con la firma de Prevención de vulnerabilidades de ENS "2844: Microsoft Word WordPerfect5 Converter Module Buffer Overflow Vulnerability" frente a IOC conocidos, aunque esta regla se considera agresiva y puede generar falsos positivos. Por lo tanto, debe probar completamente esta recomendación antes de aplicarla a los sistemas de producción. Los administradores y analistas pueden usar lo siguiente La siguiente regla de experto en prevención de exploits de ENS se ha creado para brindar cobertura adicional a esta amenaza. Esta regla se ha actualizado para minimizar los falsos positivos. Sin embargo, aún debe probar la regla a fondo antes de aplicarla a los sistemas de producción. Puede configurar la regla sugerida en modo de solo informe con fines de prueba para verificar si causa algún conflicto en su entorno y monitorear el comportamiento objetivo sin bloquear. Después de determinar que la regla no bloquea ninguna actividad de aplicaciones legítimas, puede configurar la regla para bloquear y aplicar la configuración a los sistemas relevantes. Nota: El contenido al que se hace referencia solo está disponible para los usuarios de ServicePortal registrados. Para ver el contenido, haga clic en el vínculo e inicie sesión cuando se le solicite. ALTA - HTTP: Vulnerabilidad de ejecución remota de código MSHTML de Microsoft (CVE-2021-40444) (0x45299800): Explotación: Esta alerta indica un intento de aprovechar una vulnerabilidad de ejecución remota de código en un documento de Microsoft Office. Esta alerta requiere que la función de respuesta HTTP esté habilitada. Este ataque no se detectará si la opción de respuesta HTTP está deshabilitada. Actualmente se están evaluando más oportunidades de cobertura. Información relacionadaDescargo de responsabilidadEl contenido de este artículo se creó en inglés. En caso de darse cualquier diferencia entre el contenido en inglés y su traducción, el primero siempre será el más preciso. La traducción de algunas partes de este contenido la ha proporcionado Microsoft mediante el uso de traducción automática.
Productos implicadosIdiomas:Este artículo se encuentra disponible en los siguientes idiomas: |
|