El Martes de Parches de Julio de 2023 ha presenciado 5 días cero y 9 vulnerabilidades críticas. Entre los días cero, CVE-2023-36884, una vulnerabilidad de Ejecución Remota de Código, está acaparando los titulares.

Sobre la vulnerabilidad

Según los informes, CVE-2023-36884 es un día cero que afecta a Microsoft Office y Windows. Con una puntuación CVSS 3.1 (métricas de puntuación base) de 8.3, esta vulnerabilidad está siendo explotada activamente y el concepto de prueba (POC) se ha revelado públicamente.

MSRC afirma: "Un atacante podría crear un documento de Microsoft Office especialmente diseñado que les permita ejecutar código de forma remota en el contexto de la víctima. Sin embargo, el atacante tendría que convencer a la víctima de que abra el archivo malicioso".

Microsoft también ha declarado que son conscientes de los ataques dirigidos a organizaciones que se están llevando a cabo aprovechando esta vulnerabilidad.

Pasos de mitigación

Hasta ahora, no se han lanzado actualizaciones de seguridad (o parches) para mitigar la vulnerabilidad. Sin embargo, Microsoft ha enumerado métodos de mitigación manuales para asegurar los sistemas y evitar su explotación:

  • El uso de Microsoft Defender for Office puede evitar que esta vulnerabilidad sea explotada a través de archivos adjuntos.
  • Bloquear todas las aplicaciones de Office para que no creen procesos secundarios también puede evitar la explotación de la vulnerabilidad en las cadenas de ataque actuales.
  • Para las organizaciones que no pueden utilizar las protecciones mencionadas anteriormente, Microsoft ha enumerado la modificación de la configuración del Registro como la opción definitiva:

"Las organizaciones que no pueden aprovechar estas protecciones pueden establecer la clave del registro FEATURE_BLOCK_CROSS_PROTOCOL_FILE_NAVIGATION para evitar la explotación. Tenga en cuenta que si bien estos ajustes del registro mitigarían la explotación de este problema, podrían afectar la funcionalidad regular para ciertos casos de uso relacionados con estas aplicaciones.

Agregue los siguientes nombres de aplicaciones a esta clave del registro como valores de tipo REG_DWORD con datos 1.:"

Computer\HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Internet Explorer\Main\FeatureControl\FEATURE_BLOCK_CROSS_PROTOCOL_FILE_NAVIGATION

  • Excel.exe
  • Graph.exe
  • MSAccess.exe
  • MSPub.exe
  • PowerPoint.exe
  • Visio.exe
  • WinProj.exe
  • WinWord.exe
  • Wordpad.exe

Mitigación utilizando ManageEngine Endpoint Central

Hasta ahora, Microsoft no ha lanzado actualizaciones de seguridad (parches) para mitigar esta vulnerabilidad.

Sin embargo, si eres usuario de Endpoint Central, puedes implementar sin problemas el paso de mitigación sugerido por Microsoft en los sistemas afectados desde la consola del producto.

Los pasos de mitigación sugeridos por Microsoft se han agregado a un script y se han añadido al Repositorio de Scripts.

  • Ve a Configuración > Repositorio de Scripts > Plantillas.
  • Inicia una sincronización del Repositorio de Scripts.
  • Busca el script "Mitigation_Script_CVE-2023-36884".
  • Selecciona el script y haz clic en "Agregar al Repositorio".
  • Ve a Repositorio y, en el script "Mitigation_Script_CVE-2023-36884", haz clic en "Agregar Configuración del Equipo" bajo Acción.
  • La configuración se creará automáticamente. Elige los sistemas afectados para implementar y mitigar.

Nota: Una vez que el proveedor lance los parches, se agregarán a este blog.


Si estás interesado en conocer más acerca de nuestra oferta de valor y cómo podemos ayudarte a resolver los retos de gestión de servicios de TI en tu organización, te invitamos a conocer todo un nuevo mundo de posibilidades.

En iDric estamos comprometidos con ofrecerte soluciones integrales, de calidad y respaldadas por fabricantes reconocidos en la industria. ¡Contáctanos y descubre lo que podemos hacer por ti!