Vulnerabilidades de día cero de Microsoft sin parchear: cómo mitigar CVE-2023-36884 con PowerShell

Las actualizaciones del Martes de parches de Microsoft de julio de 2023 han revelado una vulnerabilidad (¿o más?) en explotación activa que sigue sin estar parcheada. Esto es lo que necesitas saber sobre CVE-2023-36884, una vulnerabilidad de día cero que los atacantes están explotando para obtener la ejecución remota de código a través de documentos de Microsoft Office «especialmente diseñados».

¿Qué es CVE-2023-36884?

Respuesta rápida: Microsoft caracteriza al CVE-2023-36884 como una vulnerabilidad que permite la ejecución remota de código HTML de Office y Windows con una puntuación CVSS base de 8.3.

Respuesta más sustancial: ¿Qué va a ocurrir?

Por ahora, el aviso de la compañía sugiere que Microsoft sigue investigando activamente, sin proporcionar mucha información más allá de una descripción superficial. Afirma que la explotación exitosa de la vulnerabilidad puede permitir a un atacante realizar la ejecución remota de código en el propio entorno de la víctima, y que esto simplemente requiere engañar a la víctima para que abra un documento de Microsoft Office especialmente diseñado.

Curiosamente, el aviso comienza afirmando que «Microsoft está investigando informes de una serie de vulnerabilidades de ejecución remota de código" (el énfasis es mío), lo que ha llevado al experto en vulnerabilidades Will Dormann a teorizar que "el CVE-2023-36884 no es más que un indicador de posición para una actualización que aborda múltiples vulnerabilidades mediante un único CVE, que podría publicarse en algún momento desconocido en el futuro".

Aunque el aviso en sí mismo carece de detalles, se enlaza con una entrada de blog que arroja más luz sobre cómo lo descubrió Microsoft.

Espionaje y ransomware: explotación activa del CVE-2023-36884

En junio, Microsoft identificó una campaña de phishing lanzada por un agente malicioso al que se refiere como Storm-0978. La campaña iba dirigida a entidades gubernamentales y de defensa de Norteamérica y Europa, con señuelos relacionados con el Congreso Mundial de Ucrania. Los correos electrónicos enviados como parte de la campaña contenían enlaces a documentos de Word que abusaban del CVE-2023-36884 para instalar puertas traseras.

Aunque estos objetivos y las actividades posteriores al ataque sugieren motivos de espionaje, Microsoft señala que, mientras se desarrollaba esta campaña, también identificó que Storm-0978 estaba llevando a cabo otros ataques de ransomware contra objetivos no relacionados, utilizando las mismas herramientas iniciales.

Según Microsoft, la actividad de ransomware del agente agresor ha sido «en gran medida de naturaleza oportunista y totalmente separada de los objetivos centrados en el espionaje».

ACTUALIZACIÓN: BlackBerry ofrece un desglose técnico aún más detallado de esta campaña.

¿Hay algún parche disponible para CVE-2023-36884?

Por el momento, no.

Microsoft ha comunicado que todavía está investigando activamente esta vulnerabilidad y que, una vez haya terminado, la empresa tomará «las medidas adecuadas para ayudar a proteger a los clientes. Esto podría incluir proporcionar una actualización de seguridad a través de nuestro proceso de lanzamiento mensual o proporcionar una actualización de seguridad fuera de ciclo, dependiendo de las necesidades del cliente».

Recomendaciones para CVE-2023-36884

Según Microsoft, las empresas tienen tres formas de protegerse:

1. Los clientes que utilizan Microsoft Defender para Office están protegidos de los archivos adjuntos que intentan aprovecharse de esta vulnerabilidad.
2. En las cadenas de ataque actuales, el uso de la regla de reducción de superficie de ataque Block all Office applications from creating child processes impedirá que se explote la vulnerabilidad.
3. Las organizaciones que no sean capaces de aplicar estas medidas de protección, pueden añadir los siguientes nombres de aplicaciones a esta clave de registro como valores del tipo REG_DWORD con datos 1.: Computer\HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Internet Explorer\Main\FeatureControl\FEATURE_BLOCK_CROSS_PROTOCOL_FILE_NAVIGATION

• • Excel.exe
  • Graph.exe
  • MSAccess.exe
  • MSPub.exe
  • PowerPoint.exe
  • Visio.exe
  • WinProj.exe
  • WinWord.exe
  • Wordpad.exe

Nota: Microsoft advierte que, si bien estos ajustes del registro pueden mitigar la explotación,  también podrían afectar a la funcionalidad normal de determinados casos de uso relacionados con estas aplicaciones. Por lo tanto, es importante realizar pruebas antes de implementar los cambios de forma generalizada.

Cómo mitigar CVE-2023-36884 utilizando PowerShell

Para aquellos que estén considerando poner en práctica la tercera opción y hacer los cambios en el registro, nuestro Ingeniero de producto de software Kyle Bohlander ha creado el siguiente script que automatizará ese proceso. Al utilizar este script con Ninja (o el RMM de tu elección), podrás desplegar la mitigación de forma remota y a escala.

Nota: Este script no está limitado únicamente a los usuarios de NinjaOne. Cualquiera puede utilizarlo. Sin embargo, como aconseja Microsoft, esta corrección debe desplegarse en máquinas de prueba antes de proceder a una implementación más amplia. Como siempre, si decides ejecutarlo es bajo tu propia responsabilidad.

Requisitos del dispositivo: Funciona en sistemas Windows 7 y Windows Server 2008 en adelante.

Si necesitas revertir: La configuración de la clave del registro puede deshacerse con el parámetro -Undo, o aplicarse a productos específicos de Office mediante el parámetro -OfficeProducts.

Descarga el script aquí.