Etiqueta: security-guidance

Ejecución remota de código en Microsoft PowerPoint para Mac

Se ha descubierto una vulnerabilidad en la forma en que Microsoft PowerPoint para Mac procesa contenido XML, que puede ser explotada para ejecutar código arbitrario si se convence a la víctima para abrir un archivo especialmente diseñado

Microsoft Office es la suite de ofimática por excelencia, de sobras conocido por todos y que requiere poca introducción a estas alturas de la película. Lo que sí es menos conocido, al menos entre los usuarios de Windows, es que dispone de una versión para Mac. De hecho, paradójicamente la primera versión deMicrosoft Office se publicó para Mac en 1989, saliendo para plataformasWindows un año después.

La vulnerabilidad que nos ocupa es un clásico en la gama de vulnerabilidades que llevan afectando a Office durante años, y consiste en la posibilidad deejecutar código arbitrario a través de un archivo especialmente diseñado. Esta vez se debe a un fallo en la forma que PowerPoint tiene de procesar contenido XML incluido en un archivo para este programa. Básicamente, el proceso de formatos de archivo como XML requiere de código bastante complejo, teniendo que procesar muchos casos distintos y sujeto a restricciones de velocidad (no podemos tener a un usuario más de X segundos esperando que se abra un documento). Esto hace que el código que procesa este tipo de formatos sea, simple y llanamente, un lío. Una receta para el desastre.

Identificada como CVE-2018-8176, la vulnerabilidad afecta únicamente a la version de Microsoft Office 2016 para Mac, específicamente a PowerPoint.Como comentábamos, la forma de explotación no tiene nada de especial: crea un archivo manipulado y mándalo por correo, cuélgalo en algún sitio… Y espera a que alguien con Office 2016 para Mac pique. Eso sí, Microsoftespecifica que la creación de un archivo especialmente manipulado que pueda explotar esta vulnerabilidad tiene una dificultad bastante grande. Al igual que comenta que no se ha detectado que se esté explotando esta vulnerabilidad por el momento.

Microsoft ya ha publicado en su página oficial una actualización que corrige esta vulnerabilidad.

CVE-2018-8176 | Microsoft PowerPoint Remote Code Execution Vulnerability
https://portal.msrc.microsoft.com/en-us/security-guidance/advisory/CVE-2018-8176

Security Update
https://go.microsoft.com/fwlink/p/?linkid=831049

Fallo en la función de Asistencia Remota de Windows permite robar información

Se descubre vulnerabilidad crítica que afecta a todas las versiones de Windows.

Resultado de imagen de windows vulnerability

La Asistencia Remota de Windows es una herramienta preinstalada que permite que alguien de confianza tome el control de tu PC. Usualmente se utiliza para prestar ayuda sin necesidad de desplazamiento.

Esta herramienta está basada en RDP (Remote Desktop Protocol) para establecer las conexiones de manera segura. Sin embargo, el investigador de Trend Micro “Nabeel Ahmed ha descubierto una vulnerabilidad de fuga de información (Windows )que podría permitir a los atacantes obtener información para comprometer el sistema.El fallo de seguridad reside en la forma que Windows procesa las Entidades Externas XML (XXE).

Microsoft corrigió la vulnerabilidad este mismo mes. Por ello, el investigador ha lanzado los detalles técnicos y el código de la prueba de concepto.

El ataque se basa en la inclusión de carga maliciosa en la invitación de acceso. Al configurar la asistencia remota, Windows ofrece dos opciones: invitar a alguien o responder. Al escoger la opción invitar a alguien, se genera un archivo de invitación que contiene una serie de parámetros XML. Como el analizador no valida el contenido, se puede modificar este archivo para que envíe el contenido malicioso a través del mismo.

Por tanto se recomienda a todos los usuarios que actualicen Windows a la última versión.