Zero-Day en Word permite infección sin ejecutar macros
La explotación de un nuevo Zero-Day en todas las versiones de Microsoft Worden está instalando malware en sistemas actualizados.
Según FireEye, el ataque comienza con un correo electrónico con un documento malicioso de Word adjunto. Una vez abierto, el código de explotación escondido dentro del documento se conecta a un servidor controlado por el atacante y se descarga un archivo HTML (HTA) malicioso que se hace pasar por un documento de texto enriquecido. Este archivo .hta descarga otros tipos de malware de diferentes familias.
El ataque es notable por varias razones. En primer lugar, elimina la mayoría de las mitigaciones de exploits y esto le permite funcionar en Windows 10. En segundo lugar, a diferencia de la gran mayoría de los exploits de Word, este nuevo ataque no requiere que se habiliten las macros. Por último, el exploit abre un documento señuelo de Word, en un intento de ocultar cualquier signo del ataque.
Estos ataques fueron reportados por primera vez por investigadores de McAfee. El exploit se conecta a un servidor remoto controlado por el atacante, descarga un archivo .hta y lo ejecuta. Debido a que este tipo de archivos son ejecutables, el atacante obtiene la ejecución completa del código en la máquina de la víctima.
La causa raíz de la vulnerabilidad está relacionada con la vinculación y incrustación de objetos de Windows (OLE), una característica importante de Office.
Los investigadores de FireEye dijeron que se han estado comunicando con Microsoft sobre la vulnerabilidad durante varias semanas y que habían acordado no divulgarla públicamente hasta que se publicara un parche. FireEye más tarde decidió publicarlo después de que McAfee revelara los detalles de la vulnerabilidad.
Fuente: Arstechnica
Según FireEye, el ataque comienza con un correo electrónico con un documento malicioso de Word adjunto. Una vez abierto, el código de explotación escondido dentro del documento se conecta a un servidor controlado por el atacante y se descarga un archivo HTML (HTA) malicioso que se hace pasar por un documento de texto enriquecido. Este archivo .hta descarga otros tipos de malware de diferentes familias.
El ataque es notable por varias razones. En primer lugar, elimina la mayoría de las mitigaciones de exploits y esto le permite funcionar en Windows 10. En segundo lugar, a diferencia de la gran mayoría de los exploits de Word, este nuevo ataque no requiere que se habiliten las macros. Por último, el exploit abre un documento señuelo de Word, en un intento de ocultar cualquier signo del ataque.
Estos ataques fueron reportados por primera vez por investigadores de McAfee. El exploit se conecta a un servidor remoto controlado por el atacante, descarga un archivo .hta y lo ejecuta. Debido a que este tipo de archivos son ejecutables, el atacante obtiene la ejecución completa del código en la máquina de la víctima.
Los investigadores de FireEye dijeron que se han estado comunicando con Microsoft sobre la vulnerabilidad durante varias semanas y que habían acordado no divulgarla públicamente hasta que se publicara un parche. FireEye más tarde decidió publicarlo después de que McAfee revelara los detalles de la vulnerabilidad.
Fuente: Arstechnica
Via: blog.segu-info.com.ar
Zero-Day en Word permite infección sin ejecutar macros
Reviewed by Zion3R
on
11:52
Rating:
Reviewed by Zion3R
on
11:52
Rating:
