Documentos maliciosos de Microsoft Office RTF que aprovechan una vulnerabilidad no revelada anteriormente. Esta vulnerabilidad permite ejecutar una secuencia de comandos de Visual Basic cuando el usuario abre un documento que contiene una vulnerabilidad incrustada. La explotación de un nuevo Zero-Day en todas las versiones de Microsoft Word, incluido Office 2016, con Windows 10, está instalando malware en sistemas actualizados.





Las muestras que se han detectado están organizadas como archivos Word (más especialmente, archivos RTF con el nombre de la extensión ".doc"). El exploit funciona en todas las versiones de Microsoft Office, incluyendo la última versión de Office 2016 que se ejecuta en Windows 10.

Vulnerabilidad sin parchear

La causa raíz de la vulnerabilidad de día cero está relacionada con la vinculación y incrustación de objetos de Windows (OLE), una característica importante de Office.

Recomendamos firmemente que los usuarios de Office tomen las siguientes medidas para proteger o mitigar este ataque de día cero antes de que Microsoft emita un parche oficial.

• No abra ningún archivo de Office obtenido de ubicaciones no confiables.
• Activar la Vista protegida de Office. "Office Protected View" esté habilitado.

Los expertos en seguridad informan que Microsoft solucionará la vulnerabilidad el martes. Mientras tanto, los usuarios pueden bloquear el ataque habilitando la Vista Protegida agregando lo siguiente a su registro de Windows:

HKEY_CURRENT_USER\Software\Microsoft\Office\15.0\Word\Security\FileBlock\RtfFiles valor a 2 

HKEY_CURRENT_USER\Software\Microsoft\Office\15.0\Word\Security\FileBlock\OpenInProtected a valor 0

En Office 2003 sería versión 11



Según FireEye, el ataque comienza con un correo electrónico con un documento malicioso de Word adjunto. Una vez abierto, el código de explotación escondido dentro del documento se conecta a un servidor controlado por el atacante y se descarga un archivo HTML (HTA) malicioso que se hace pasar por un documento de texto enriquecido. Este archivo .hta descarga otros tipos de malware de diferentes familias.

Ataque sin usar macros

El ataque es notable por varias razones. En primer lugar, elimina la mayoría de las mitigaciones de exploits y esto le permite funcionar en Windows 10. En segundo lugar, a diferencia de la gran mayoría de los exploits de Word, este nuevo ataque no requiere que se habiliten las macros. Por último, el exploit abre un documento señuelo de Word, en un intento de ocultar cualquier signo del ataque.



Estos ataques fueron reportados por primera vez por investigadores de McAfee. El exploit se conecta a un servidor remoto controlado por el atacante, descarga un archivo .hta y lo ejecuta. Debido a que este tipo de archivos son ejecutables, el atacante obtiene la ejecución completa del código en la máquina de la víctima.



Los investigadores de FireEye dijeron que se han estado comunicando con Microsoft sobre la vulnerabilidad durante varias semanas y que habían acordado no divulgarla públicamente hasta que se publicara un parche. FireEye más tarde decidió publicarlo después de que McAfee revelara los detalles de la vulnerabilidad.


Fuentes:
http://blog.segu-info.com.ar/2017/04/zero-day-en-word-permite-infeccion-sin.html
https://securingtomorrow.mcafee.com/mcafee-labs/critical-office-zero-day-attacks-detected-wild/
https://www.fireeye.com/blog/threat-research/2017/04/acknowledgement_ofa.html
https://arstechnica.com/security/2017/04/booby-trapped-word-documents-in-the-wild-exploit-critical-microsoft-0day/