Vulnerabilidad en la ejecución remota de código MSHTML

Crítica Alerta 5

Empezamos curso con una nueva vulnerabilidad, un ataque de día 0 (zero day), la CVE-2021-40444 que afecta a la mayoría de versiones de sistemas operativos Windows Server desde 2008 hasta 2019 y Windows desde la versión 7 a la 10. Los usuarios más vulnerables a este tipo de ataques son los que operan con cuentas con derechos administrativos.

¿Qué ocurre?

Se trata de una vulnerabilidad de severidad alta que afecta a varias versiones de Windows mediante un componente de Internet Explorer, MSHTML, que se utiliza para mostrar documentos.

Esta vulnerabilidad usada en documentos de Microsoft Office permitirá a un ciberatacante realizar una ejecución remota de código en el sistema vulnerable.

¿Qué podemos hacer?

La solución propuesta por Microsoft es deshabilitar la instalación de todos los controles ActiveX en Internet Explorer para mitigar este ataque. Esto se puede lograr para todos los sitios actualizando el registro. Los controles ActiveX instalados anteriormente seguirán ejecutándose, pero no se exponen a esta vulnerabilidad.

Advertencia: Si usa el Editor del Registro incorrectamente, puede causar serios problemas que pueden requerir que reinstale su sistema operativo. Microsoft e Infordisa no puede garantizar que pueda resolver los problemas que resulten del uso incorrecto del Editor del Registro. Utilice el Editor del registro bajo su propia responsabilidad.

Para deshabilitar los controles ActiveX en un sistema individual:

  1. Para deshabilitar la instalación de controles ActiveX en Internet Explorer en todas las zonas, pegue lo siguiente en un archivo de texto y guárdelo con la extensión de archivo .reg:
				
					Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0]
"1001"=dword:00000003
"1004"=dword:00000003

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\1]
"1001"=dword:00000003
"1004"=dword:00000003

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\2]
"1001"=dword:00000003
"1004"=dword:00000003

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3]
"1001"=dword:00000003
"1004"=dword:00000003
			
  1. Haga doble clic en el archivo .reg para aplicarlo a su sección de políticas.
  2. Reinicie el sistema para asegurarse de que se aplique la nueva configuración.

Impacto de la solución alternativa.

Esto establece la URLACTION_DOWNLOAD_SIGNED_ACTIVEX (0x1001) y la URLACTION_DOWNLOAD_UNSIGNED_ACTIVEX (0x1004) en DISABLED (3) para todas las zonas de Internet para procesos de 64 y 32 bits. No se instalarán nuevos controles ActiveX. Los controles ActiveX instalados anteriormente seguirán ejecutándose.

Cómo deshacer la solución alternativa

Elimine las claves de registro que se agregaron al implementar esta solución.

Comparte esta alerta de seguridad:

Deja un comentario

Alertas de seguridad

Recíbelas a tu email
Consulta las últimas alertas