Explicando a vulnerabilidade no Microsoft OLE - CVE-2014-6352

Explicando a vulnerabilidade no Microsoft OLE - CVE-2014-6352

A Microsoft tem conhecimento de uma vulnerabilidade que afeta todas as versões com suporte do Microsoft Windows, excluindo Windows Server 2003 A vulnerabilidade pode permitir a execução remota de código se um usuário abrir um arquivo do Microsoft Office especialmente criado que contenha um objeto OLE. Um invasor que explorar com êxito a vulnerabilidade poderá obter os mesmos direitos que o usuário atual. Os clientes cujas contas são configuradas com poucos direitos de usuário no sistema correm menos riscos do que aqueles que operam com direitos administrativos. O ataque requer interação do usuário para ter sucesso em clientes Windows com uma configuração padrão, como o Controle de Conta de Usuário (UAC) está ativado e uma solicitação de consentimento é apresentado.

Neste momento, a Microsoftestá cientes de ataques direcionados que tentam explorar esta vulnerabilidade através do Microsoft PowerPoint.

Estamos trabalhando ativamente com parceiros em nosso Active Protections Program Microsoft (MAPP) para fornecer informações que eles podem usar para oferecer proteção mais ampla aos clientes. Para obter informações sobre as proteções liberadas por parceiros MAPP, consulte MAPP Partners com protecções actualizadas .

Após a conclusão desta investigação, a Microsoft tomará as medidas apropriadas para ajudar a proteger nossos clientes. Isso pode incluir o fornecimento de uma atualização de segurança através do nosso processo de lançamento mensal ou fornecer uma atualização de segurança out-of-ciclo, dependendo das necessidades do cliente.

 

Fatores atenuantes

  • Em ataques observados, o Controle de Conta de Usuário (UAC) exibe uma solicitação de consentimento ou um prompt de elevação, consoante os privilégios do usuário atual, antes de um arquivo contendo o exploit é executado. UAC é ativado por padrão no Windows Vista e versões mais recentes do Microsoft Windows.
  • Um invasor que explorar com êxito essa vulnerabilidade poderá obter os mesmos direitos que o usuário atual. Os clientes cujas contas são configuradas com poucos direitos de usuário no sistema correm menos riscos do que aqueles que operam com direitos administrativos.
  • Em um cenário de ataque baseado na Web, o invasor pode hospedar um site que contenha uma página da Web que contém um arquivo do Office especialmente criado usado para tentar explorar essa vulnerabilidade. Em todos os casos, entretanto, um invasor não teria como forçar os usuários a visitar esses sites. Em vez disso, o invasor teria que convencer os usuários a visitar o site, geralmente fazendo com que eles cliquem em um link em uma mensagem de e-mail ou mensagem do Instant Messenger que leva o usuário ao site do invasor.
  • Arquivos da Internet e de outros locais potencialmente inseguros podem conter vírus, worms ou outros tipos de malwares que podem danificar seu computador. Para ajudar a proteger o seu computador, os arquivos desses locais potencialmente inseguros são abertos no Modo de Exibição Protegido. Usando Modo de Exibição Protegido, você pode ler um arquivo e ver o seu conteúdo, reduzindo os riscos. Exibição Protegido está habilitado por padrão.

 

Sistema operacional afetados

  • Windows Vista Service Pack 2
  • Windows Vista x64 Edition Service Pack 2
  • Windows Server 2008 para sistemas de 32 bits Service Pack 2
  • Windows Server 2008 para sistemas baseados em x64 Service Pack 2
  • Windows Server 2008 para sistemas baseados no Itanium Service Pack 2
  • Windows 7 para sistemas de 32 bits Service Pack 1
  • Windows 7 para sistemas baseados em x64 Service Pack 1
  • Windows Server 2008 R2 para sistemas baseados em x64 Service Pack 1
  • Windows Server 2008 R2 para sistemas baseados em Itanium Service Pack 1
  • Windows 8 para sistemas de 32 bits
  • Windows 8 para sistemas baseados em x64
  • O Windows 8.1 para sistemas de 32 bits
  • O Windows 8.1 para sistemas baseados em x64
  • Windows Server 2012
  • Windows Server 2012 R2
  • O Windows RT
  • O Windows RT 8.1

 

Possíveis dúvidas sobre a vulnerabilidade

  • Qual é o escopo do comunicado?
    • A Microsoft está investigando relatos de uma vulnerabilidade nas versões afetadas do Microsoft Windows.
  • Esta é uma vulnerabilidade de segurança que requer a Microsoft publique uma atualização de segurança?
    • Na conclusão de nossa investigação, a Microsoft vai tomar as medidas adequadas para proteger os nossos clientes, que podem incluir o fornecimento de uma solução através do processo mensal de lançamento da atualização de segurança, ou uma atualização de segurança out-of-ciclo, dependendo das necessidades do cliente.
  • O que é OLE?
    • OLE (Object Linking and Embedding) é uma tecnologia que permite que os aplicativos para compartilhar dados e funcionalidades, tais como a capacidade de criar e editar dados de compostos. Composto dados são dados que contém informações em vários formatos. Por exemplo, um documento do Microsoft Word composto pode conter uma planilha do Microsoft Excel incorporado (ou objeto OLE). Esta tecnologia também permite a edição no local; em vez de lançar um novo aplicativo quando um objeto OLE é ativado, o usuário vê um novo conjunto de itens de menu dentro do aplicativo existente. Para mais informações sobre OLE, consulte documentos compostos .
  • Qual é a diferença entre os arquivos do Microsoft PowerPoint Apresentação e PowerPoint show?
    • Arquivos do Microsoft PowerPoint (.pptx ou extensões de arquivo .ppt) geralmente abertos no modo de edição. Microsoft PowerPoint Mostrar arquivos (extensões de arquivos .ppsx ou .pps) geralmente abertos no modo de apresentação. PowerPoint Mostrar arquivos podem ser compartilhados com os usuários que não pretendem editar o arquivo.
  • Para que um invasor pode usar a vulnerabilidade?
    • Um invasor que explorar com êxito essa vulnerabilidade poderá obter os mesmos direitos que o usuário atual. Se o usuário atual estiver conectado com direitos administrativos, o invasor que explorar com êxito essa vulnerabilidade poderá assumir o controle total de um sistema afetado. O invasor poderá instalar programas; exibir, alterar ou excluir dados; ou criar novas contas com direitos totais de usuário.
  • Como um invasor pode explorar a vulnerabilidade?
    • A interação do usuário é necessária para explorar esta vulnerabilidade.
    • Em um cenário de ataque por email, um invasor pode explorar a vulnerabilidade enviando um arquivo especialmente criado para o usuário. Para este cenário ataque seja bem sucedido, o usuário deve ser convencido a abrir o arquivo especialmente criado contendo o objeto OLE malicioso. Todos os tipos de arquivo do Microsoft Office, assim como muitos outros tipos de arquivos de terceiros podem conter um objeto OLE malicioso.
    • Em um cenário de ataque baseado na Web, o invasor terá que hospedar um site que contenha um arquivo do Microsoft Office especialmente criado, como um arquivo de PowerPoint, que é usado em uma tentativa de explorar esta vulnerabilidade. Além disso, sites comprometidos (e sites que aceitam ou alojam conteúdos fornecidos por utilizadores) podem conter conteúdo especialmente desenvolvido que pode explorar esta vulnerabilidade. Um invasor não teria nenhum método para forçar usuários a visitar um site mal-intencionado. Em vez disso, o invasor teria que convencer o usuário alvejado a visitar o site, geralmente fazendo com que eles cliquem em um link que direciona o navegador para o site controlado pelo invasor.
  • O que é Controle de Conta de Usuário?
    • Controle de Conta de Usuário (UAC) é um componente de segurança do Windows que permite que um administrador para inserir credenciais durante uma sessão não-administrativo do usuário para executar tarefas administrativas ocasionais
  • Quais são os sistemas que mais correm risco com a vulnerabilidade?
    • Servidores ou estações de trabalho que os documentos abertos com objetos OLE incorporados são mais susceptíveis.