Microsoft Security Advisory (2896666)
Vulnerabilidad en el componente de gráficos de Microsoft podría permitir la ejecución remota de código
Información general
Resumen Ejecutivo
Microsoft está investigando los informes privados de una vulnerabilidad en el componente Microsoft Graphics que afecta a Microsoft Windows, Microsoft Office y Microsoft Lync. Microsoft es consciente de ataques que intentan explotar esta vulnerabilidad en productos de Microsoft Office.
Es una vulnerabilidad de ejecución remota de código que existe en la forma que los componentes afectados tratan imágenes TIFF especialmente diseñados.
Un atacante podría aprovechar esta vulnerabilidad para convencer a un usuario a obtener una vista previa o abrir un mensaje de correo electrónico especialmente diseñado, abrir dicho archivo o navegar en un sitio web especialmente diseñado.
Un atacante que aprovechara la vulnerabilidad podría obtener los mismos derechos de usuario que el usuario actual. Los usuarios cuyas cuentas están configuradas para tener menos privilegios de usuario en el sistema podrían ser menos afectados que los usuarios que operan con derechos de usuario administrativos.
Se está trabajando activamente para proporcionar información que se pueda utilizar para proporcionar mayor protección a los clientes.
Al término de esta investigación, Microsoft tomará las medidas apropiadas para ayudar a proteger a sus clientes. Esto puede incluir una actualización de seguridad en la publicación mensual o una actualización de seguridad fuera de ciclo, dependiendo de las necesidades de los clientes
Factores atenuantes
-
Un atacante que aprovechara la vulnerabilidad podría obtener los mismos derechos de usuario que el usuario actual. Los usuarios cuyas cuentas están configuradas para tener menos derechos de usuario en el sistema podrían ser menos afectados que los usuarios que operan con derechos de usuario administrativos.
-
En un escenario de ataque basado en web, un atacante podría alojar un sitio web especialmente diseñado para aprovechar esta vulnerabilidad y luego convencer a un usuario para ver el sitio Web. El atacante no tendría ninguna manera de obligar a los usuarios a ver el contenido controlado por el atacante. En cambio, el atacante tendría que convencer a los usuarios a tomar medidas, típicamente por que se haga clic en un vínculo en un mensaje de correo electrónico o mensajería instantánea que toma los usuarios al sitio web del atacante, o abriendo un archivo adjunto enviado por correo electrónico.
Software Afectado
|
Windows Operating System |
|---|
| Windows Vista Service Pack 2 |
| Windows Vista x64 Edition Service Pack 2 |
| Windows Server 2008 for 32-bit Systems Service Pack 2 |
| Windows Server 2008 for x64-based Systems Service Pack 2 |
| Windows Server 2008 for Itanium-based Systems Service Pack 2 |
| Windows Server 2008 for 32-bit Systems Service Pack 2 (Server Core installation) |
| Windows Server 2008 for x64-based Systems Service Pack 2 (Server Core installation) |
|
Microsoft Office Suites and Software |
| Microsoft Office 2003 Service Pack 3 |
| Microsoft Office 2007 Service Pack 3 |
| Microsoft Office 2010 Service Pack 1 (32-bit editions) |
| Microsoft Office 2010 Service Pack 2 (32-bit editions) |
| Microsoft Office 2010 Service Pack 1 (64-bit editions) |
| Microsoft Office 2010 Service Pack 2 (64-bit editions) |
| Microsoft Office Compatibility Pack Service Pack 3 |
|
Microsoft Communication Platforms and Software |
| Microsoft Lync 2010 (32-bit) |
| Microsoft Lync 2010 (64-bit) |
| Microsoft Lync 2010 Attendee |
| Microsoft Lync 2013 (32-bit) |
| Microsoft Lync Basic 2013 (32-bit) |
| Microsoft Lync 2013 (64-bit) |
| Microsoft Lync Basic 2013 (64-bit) |
Software NO afectado
|
Windows Operating System |
|---|
| Windows XP Service Pack 3 |
| Windows XP Professional x64 Edition Service Pack 2 |
| Windows Server 2003 Service Pack 2 |
| Windows Server 2003 x64 Edition Service Pack 2 |
| Windows Server 2003 for Itanium-based Systems Service Pack 2 |
| Windows 7 for 32-bit Systems Service Pack 1 |
| Windows 7 for x64-based Systems Service Pack 1 |
| Windows Server 2008 R2 for x64-based Systems Service Pack 1 |
| Windows Server 2008 R2 for Itanium-based Systems Service Pack 1 |
| Windows 8 for 32-bit Systems |
| Windows 8 for x64-based Systems |
| Windows 8.1 for 32-bit Systems |
| Windows 8.1 for x64-based Systems |
| Windows RT |
| Windows RT 8.1 |
| Windows Server 2012 |
| Windows Server 2012 R2 |
| Windows Server 2008 R2 for x64-based Systems Service Pack 1 (Server Core installation) |
| Windows Server 2012 (Server Core installation) |
| Windows Server 2012 R2 (Server Core installation) |
|
Microsoft Office Suites and Software |
| Microsoft Office 2013 (32-bit editions) |
| Microsoft Office 2013 (64-bit editions) |
| Microsoft Office 2013 RT |
|
Microsoft Communication Platforms and Software |
| Microsoft Speech Server 2004 |
| Microsoft Speech Server 2004 R2 |
| Microsoft Live Meeting 2007 Console |
| Microsoft Live Communications Server 2003 |
| Microsoft Live Communications Server 2005 Service Pack 1 |
| Microsoft Communicator 2005 |
| Microsoft Communicator 2005 Web Access |
| Microsoft Communicator 2007 |
| Microsoft Communicator 2007 R2 |
| Microsoft Communicator 2007 Web Access |
| Microsoft Communications Server 2007 |
| Microsoft Communications Server 2007 Speech Server |
| Microsoft Communications Server 2007 R2 |
| Microsoft Communicator 2007 R2 Attendant |
| Microsoft Communicator 2007 R2 Group Chat Admin |
| Microsoft Communicator 2007 R2 Group Chat Client |
| Microsoft Communicator for Mac 2011 |
| Microsoft Lync for Mac 2011 |
| Microsoft Lync 2010 Attendant (32-bit) |
| Microsoft Lync 2010 Attendant (64-bit) |
| Microsoft Lync Server 2010 |
| Microsoft Lync Server 2013 |
| Microsoft Lync Web Access 2013 |
Prevención
Microsoft ha publicado una corrección temporal en forma de “Fix it” que bloquea el ataque. Hay que señalar que este parche no corrige la vulnerabilidad sino que aplica cambios que bloquean el tratamiento de los gráficos que provocan el problema. El cambio realizado por este parche consiste en añadir la siguiente clave en el registro:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Gdiplus\DisableTIFFCodec = 1
Esta clave desactiva el codec TIFF, por lo que se elimina el soporte de este formato gráfico. Por ello, Microsoft recomienda evaluar el impacto que pueda tener esta contramedida.
Como otras contramedidas Microsoft recomienda la instalación de EMET (Enhanced Mitigation Experience Toolkit). Esta herramienta permite que todas las DLL cargadas por un programa sean obligadas a usar ASLR, por lo que serán colocadas en lugares aleatorios de la memoria. Según Microsoft EMET bloqueará el exploit con la activación de “Multiple ROP mitigations (StackPointer, Caller, SimExec, MemProt)” (disponible en EMET 4.0) o “other mitigations (MandatoryASLR, EAF, HeapSpray )” incluido en EMET 3.0 y 4.0. Otra posibilidad es el uso del Modo Vista Protegida y bloquear los controles ActiveX en documentos Office.
SATINFO, SERVICIO DE ASISTENCIA TÉCNICA INFORMATICA 8 de Noviembrede 2013