Vectores de ataque más comunes documentos de Office
Los documentos del paquete Microsoft Office han adquirido un papel más que importante en la era digital. Los atacantes advirtieron lo necesarios que son en nuestro trabajo y en nuestra vida cotidiana, por lo que a través de los años han encontrado diferentes formas de generar ataques por medio de ellos.
La vulnerabilidad es una corrupción de memoria en la característica Dynamic Data Exchange (DDE), y lleva presente en Microsoft Office desde hace 17 años. Puede ser ejecutada sobre todas las versiones de la suite publicadas desde entonces, incluso Office 365, y funciona sobre cualquier versión de Windows, incluyendo el más reciente Windows 10 Creators Update. Esta vulnerabilidad no está relacionada con Macro-less.
Descubierta por la empresa investigadora en seguridad Embedi, la vulnerabilidad abre la puerta a la ejecución de código en remoto, permitiendo a un atacante no autenticado ejecutar código malicioso sobre el sistema objetivo sin requerir de interacción con el usuario, solo necesitando que se abra un documento de Office malicioso específicamente diseñado que la explote. Identificada como con el código CVE-2017-11882, reside en el ejecutable EQNEDT32.EXE, un componente de Microsoft Office responsable de la inserción y la edición de ecuaciones en forma de objetos OLE dentro de los documentos.
El componente falla a la hora de manejar objetos de forma correcta en la memoria, obteniendo como resultado una corrupción que puede ser aprovechada por un atacante para ejecutar código malicioso en el contexto del usuario. Introducido en Microsoft Office 2000, el gigante de Redmond ha mantenido el ejecutable EQNEDT32.EXE con el fin de ofrecer una buena compatibilidad con documentos antiguos, algo que cobró aún más importancia tras la llegada de Microsoft Office 2007 y el nuevo formato OOXML (DOCX, XLSX… ).
Microsoft parcheó esta vulnerabilidad el martes, tras liberar su paquete mensual de actualizaciones de seguridad, así que sería conveniente su aplicación cuanto antes para eliminarla.
Por otro lado, se puede reforzar la seguridad mediante la habilitación del sandbox de Microsoft Office, Vista Protegida, y la ejecución de los siguientes comandos que inhabilitan el registro del componente en el Registro de Windows:
Fuentes:
http://blog.segu-info.com.ar/2017/11/vulnerabilidad-rce-en-office-parchea.html
https://www.welivesecurity.com/la-es/2017/11/17/vectores-ataque-documentos-de-office/
Vector de ataque 1: Documentos con macros
El primer vector son documentos, por lo general de Word, que contienen código Visual Basic for Application (VBA) conocido como macros. La propiedad de leer ese código viene desactivada por defecto, lo que quiere decir que, para que un usuario se infecte, hace falta su aprobación.
En algunos casos es posible extraer el código malicioso del archivo, pero en otros no, ya que suelen estar protegidos por una contraseña creada por el atacante.
A continuación tenemos un ejemplo, en donde se presenta un mensaje en color amarillo consultando al usuario si quiere habilitar el contenido. En caso de que proceda, se ejecutará el código malicioso y lanzará otros procesos (cmd.exe y powershell.exe) para realizar cambios en el equipo de la víctima.
Vector de ataque 2: Documentos con OLE
El segundo vector involucra a documentos maliciosos con Object Linking and Embedding (OLE). Este método permite incrustar y vincular archivos, como, por ejemplo, scripts o ejecutables.
Al igual que con las macros, la víctima no se infectará con solo abrir el archivo, sino que se deberá hacer doble clic sobre el objeto, que se encuentra dentro del documento, para que se efectúe la infección.
Los cibercriminales usan esta técnica aprovechando que Microsoft Office da la posibilidad de cambiar visualmente el icono o imagen del contenido malicioso por alguna otra que pueda generar más confianza, para así lograr que la víctima abra el contenido.
En la siguiente captura se puede apreciar el contenido del documento, que es ni más ni menos que un Visual Basic Script ofuscado que tiene como fin descargar otra amenaza:
Vector de ataque 3: Documentos que explotan vulnerabilidades
El último vector que describiremos, aunque no por eso es el menos importante, tiene que ver con aquellos documentos maliciosos que explotan algún tipo de vulnerabilidad en las aplicaciones de Microsoft Office (Word, Excel, Power Point, etc.).
A diferencia de los métodos anteriormente descriptos, aquí el código malicioso se ejecutará inmediatamente al momento de abrir el documento, sin ningún tipo de aprobación previa, mensaje o advertencia.
Si prestamos atención en la próxima captura, vemos que no hay macros ni tampoco archivos incrustados en el documento. Pero si realizamos un análisis más profundo, notamos que existe código Visual Basic Script oculto en el documento, que será ejecutado al momento de explotar alguna vulnerabilidad en caso que los parches de seguridad no se hayan instalado.
Vulnerabilidad RCE en Microsoft Office
Se le ha encontrado una vulnerabilidad crítica en Microsoft Office cuyo origen es un componente que permite a los atacantes ejecutar código remoto (RCE) sin necesidad de que el usuario dé su consentimiento.La vulnerabilidad es una corrupción de memoria en la característica Dynamic Data Exchange (DDE), y lleva presente en Microsoft Office desde hace 17 años. Puede ser ejecutada sobre todas las versiones de la suite publicadas desde entonces, incluso Office 365, y funciona sobre cualquier versión de Windows, incluyendo el más reciente Windows 10 Creators Update. Esta vulnerabilidad no está relacionada con Macro-less.
Descubierta por la empresa investigadora en seguridad Embedi, la vulnerabilidad abre la puerta a la ejecución de código en remoto, permitiendo a un atacante no autenticado ejecutar código malicioso sobre el sistema objetivo sin requerir de interacción con el usuario, solo necesitando que se abra un documento de Office malicioso específicamente diseñado que la explote. Identificada como con el código CVE-2017-11882, reside en el ejecutable EQNEDT32.EXE, un componente de Microsoft Office responsable de la inserción y la edición de ecuaciones en forma de objetos OLE dentro de los documentos.
El componente falla a la hora de manejar objetos de forma correcta en la memoria, obteniendo como resultado una corrupción que puede ser aprovechada por un atacante para ejecutar código malicioso en el contexto del usuario. Introducido en Microsoft Office 2000, el gigante de Redmond ha mantenido el ejecutable EQNEDT32.EXE con el fin de ofrecer una buena compatibilidad con documentos antiguos, algo que cobró aún más importancia tras la llegada de Microsoft Office 2007 y el nuevo formato OOXML (DOCX, XLSX… ).
Microsoft parcheó esta vulnerabilidad el martes, tras liberar su paquete mensual de actualizaciones de seguridad, así que sería conveniente su aplicación cuanto antes para eliminarla.
Por otro lado, se puede reforzar la seguridad mediante la habilitación del sandbox de Microsoft Office, Vista Protegida, y la ejecución de los siguientes comandos que inhabilitan el registro del componente en el Registro de Windows:
reg add "HKLM\SOFTWARE\Microsoft\Office\Common\COM Compatibility\{0002CE02-0000-0000-C000-000000000046}" /v "Compatibility Flags" /t REG_DWORD /d 0x400
En caso de usar Office de 32 bits sobre un Windows de 64 bits, el comando sería el siguiente:
reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Office\Common\COM Compatibility\{0002CE02-0000-0000-C000-000000000046}" /v "Compatibility Flags" /t REG_DWORD /d 0x400
Fuentes:
http://blog.segu-info.com.ar/2017/11/vulnerabilidad-rce-en-office-parchea.html
https://www.welivesecurity.com/la-es/2017/11/17/vectores-ataque-documentos-de-office/
Via: blog.elhacker.net
Vectores de ataque más comunes documentos de Office
Reviewed by Zion3R
on
23:03
Rating: