Inicio / Protege tu empresa / Avisos Seguridad / Ejecución remota de código en Internet Explorer

Ejecución remota de código en Internet Explorer

Fecha de publicación: 
08/09/2021
Importancia: 
4 - Alta
Recursos afectados: 
  • Para sistemas de 32-bits y  de 64-bits:
    • Windows 10 y versiones 1607, 1809, 1909, 2004, 20H2 y 21H1;
    • Windows 7 Service Pack 1;
    • Windows 8.1;
    • Windows Server 2008 Service Pack 2 y 2008 Service Pack 2 (Server Core installation).
  • Para sistemas de 64-bits:
    • Windows Server 2008 R2 Service Pack 1 y 2008 R2 Service Pack 1 (Server Core installation).
  • Para sistemas ARM64:
    • Windows 10 versiones 1809, 1909, 2004, 20H2 y 21H1.
  • Windows RT 8.1;
  • Windows Server:
    • 2012 y 2012 R2; ambas también para instalaciones de Server Core; 
    • 2016,y 2019 y 2022: en los tres casos también para instalaciones de Server Core;
    • 2004 (Server Core installation) y 20H2 (Server Core installation). 
       
Descripción: 

Microsoft está investigando una vulnerabilidad de severidad alta que afecta a varias versiones de Windows a través de un componente de Internet Explorer, MSHTML, que se utiliza para mostrar documentos. Esta vulnerabilidad, que está siendo explotada utilizando documentos de Microsoft Office especialmente diseñados, podría permitir a un ciberatacante realizar una ejecución remota de código en el sistema vulnerable.

Solución: 

Microsoft aún no ha publicado una actualización que solucione la vulnerabilidad. Hasta su publicación, se recomienda realizar las siguientes mitigaciones.

  • Por defecto, Microsoft Office abre los documentos de Internet en la Vista Protegida o en Application Guard para Office, los cuales evitan este ataque.
  • Por otra parte, los productos antimalware Microsoft Defender Antivirus y Microsoft Defender for Endpoint proporcionan detección y protección para esta vulnerabilidad. Se recomienda mantener estos productos antimalware actualizados y configurar las actualizaciones automáticas. Para las empresas que gestionan las actualizaciones deben seleccionar la versión de detección 1.349.22.0 o posterior y desplegarla en sus entornos. Las alertas de Microsoft Defender for Endpoint se mostrarán como 'Ejecución sospechosa de archivos Cpl'.

Además de lo anterior, Microsoft recomienda desactivar los controles ActiveX en Internet Explorer para todas las zonas editando el fichero .reg (registro) por personal cualificado o por su empresa de soporte. Los controles ActiveX previamente instalados seguirán ejecutándose, pero no expondrán esta vulnerabilidad.

¿Te gustaría estar a la última con la información de nuestros avisos? Anímate y suscríbete a nuestros boletines, únete al canal de Telegram @ProtegeTuEmpresa, o síguenos en twitter @ProtegeEmpresa y Facebook. Serás el primero en enterarte de los últimos avisos de seguridad para empresas. También ponemos a tu disposición la Línea de Ayuda en Ciberseguridad de INCIBE en el teléfono 017, a través de nuestros canales de mensajería instantánea en WhatsApp (900 116 117) y Telegram (@INCIBE017) o mediante el formulario web.

Detalle: 

Logo Windows

Un atacante podría crear un documento de Microsoft Office con controles de ActiveX maliciosos para ser utilizados por el motor de renderizado del navegador. El atacante podría enviar y convencer al usuario para que abra el documento malicioso. Los usuarios cuyas cuentas están configuradas con permisos de administrador podrían verse más afectados que los usuarios sin estos permisos.

Tu soporte tecnológico puede consultar una solución más técnica en el área de Avisos de INCIBE CERT.

Línea de ayuda en ciberseguridad 017