Según ha informado Microsoft los
ataques se han observado de manera muy limitada y de forma cuidadosamente
realizada contra sistemas elegidos, principalmente en Oriente Medio y Asia del
Sur. También se señala que el exploit que se está empleado necesita la interacción
del usuario para que este abra un documento Word adjunto específicamente
manipulado.
El ataque detectado trata de
explotar la vulnerabilidad mediante una imagen (en formato TIFF) diseñada para
ello e incrustada en el propio documento. El
exploit ataca un fallo de seguridad sin corregir en versiones antiguas de Office (con CVE-2013-3906) y el procesamiento gráfico de imágenes en Windows.
Según la información facilitada
por Microsoft el ataque combina múltiples técnicas para evitar las protecciones
DEP (Data Execution Prevention) y ASLR (Address Space Layout Randomization). Básicamente,
la tecnología DEP (Data Execution Prevention), permite marcar zonas de memoria
no ejecutables, ya presente en Windows XP SP2 se apoya en una característica en
las CPU conocida como bit NX; incluso en aquellas CPU que no implementen el bit
NX, DEP es capaz de ofrecer protección con funcionalidad reducida. ASLR (Adress
Space Layout Randomization) proporciona aleatoriedad en las direcciones del espacio
de memoria de un proceso, para dificultar la búsqueda de direcciones "interesantes" desde el punto de
vista del atacante.
Concretamente el exploit realiza grandes
cantidades de relleno de memoria ("heap
spray") mediante controles ActiveX (en vez de las habituales técnicas
de scripting), y usa "gadgets ROP"
(Return Oriented Programming) directamente incrustados para localizar páginas
ejecutables. Esto también implica que el exploit fallará en máquinas protegidas
con bloqueo de Controles ActiveX embebidos en documentos Office (lo que ocurre
por ejemplo en el modo Vista Protegida de Office 2010); o en equipos con una
versión diferente del módulo empleado para construir los "gadtgets ROP" estáticos.
Según
la alerta
de Microsoft el ataque no afecta a Office 2013, pero sí que afecta a
versiones antiguas de la "
suite"
ofimática de Microsoft, como
Office 2003
y Office 2007. Debido a la forma en que Office 2010 emplea la librería gráfica
vulnerable, esta versión solo se ve afectada si se ejecuta sobre sistemas
antiguos como Windows XP o Windows Server 2003, pero Office 2010 no se ve
afectado cuando corre sobre Windows 7, 8 y 8.1.
Contramedidas disponibles
Microsoft ha publicado una
corrección temporal en forma de "Fix
it" que bloquea el ataque. Hay que señalar que este parche no corrige
la vulnerabilidad sino que aplica cambios que bloquean el tratamiento de los gráficos
que provocan el problema. El cambio realizado por este parche consiste en
añadir la siguiente clave en el registro:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Gdiplus\DisableTIFFCodec
= 1
Esta clave desactiva el codec TIFF, por lo que se elimina el soporte de
este formato gráfico. Por ello, Microsoft recomienda evaluar el impacto que
pueda tener esta contramedida.
Como otras contramedidas Microsoft recomienda la instalación de EMET
(Enhanced Mitigation Experience Toolkit). Esta herramienta combate las técnicas de evasión de
DEP y ASLR y otros métodos de exploiting conocidos. Según Microsoft EMET bloqueará
el exploit con la activación de "Multiple ROP mitigations (StackPointer,
Caller, SimExec, MemProt)" (disponible en EMET 4.0) o "other
mitigations (MandatoryASLR, EAF, HeapSpray )" incluido en EMET 3.0 y 4.0. Otra
posibilidad es el uso del Modo Vista Protegida y bloquear los controles ActiveX
en documentos Office.
Más información:
Microsoft Security Advisory (2896666)
Vulnerability in Microsoft Graphics Component
Could Allow Remote Code Execution
CVE-2013-3906: a graphics vulnerability
exploited through Word documents
Antonio Ropero
