Veamos por qué los hackers les gusta explotar las vulnerabilidades específicas de Microsoft Office. A continuación encontrará algunas de las vulnerabilidades más peligrosas descubiertas en MS Office en los últimos años.
Los hackers han estado explotando vulnerabilidades de Microsoft Office para difundir diversas formas de malware. Dependiendo del propósito y la escala de la campaña, el malware podría estar diseñado para robar varias credenciales de acceso y espiar a los objetivos’ ocupaciones, caer ransomware y criptomoneda mineros, el malware DDoS, entre otros. Un informe reciente realizado por Kaspersky reveló que aproximadamente el 70% de todos los ataques de la empresa detectó en el primer trimestre de 2018 estaban tratando de aprovechar una vulnerabilidad de Microsoft Office. El número es mucho mayor que en años anteriores.
¿Sabía usted que incluso las vulnerabilidades de edad se utilizan a menudo en las campañas actuales ya que los usuarios han sido repetidamente fallando para parchear sus sistemas? De acuerdo con una 2017 informe RAND, la esperanza media de vida de las vulnerabilidades es casi siete años. Así, No se sorprenda por el hecho de que algunas de las vulnerabilidades en esta lista son un par de años de edad.
Según Kaspersky, dos de las vulnerabilidades de Microsoft Office más explotados fueron descubiertos en 2017: CVE-2017-11882 y CVE-2.018-0802.
A partir del año pasado, varios de los ataques de día cero para Microsoft Office comenzó a aparecer, Kaspersky señaló. Estas campañas en un primer momento parecen estar dirigidos pero rápidamente cambian su enfoque para atacar a una gama más amplia de objetivos. Esto sucede cuando los atacantes comienzan a usar los constructores de documentos maliciosos.
CVE-2017 a 11.882
Un ejemplo interesante que ilustra el paso rápido de convertir una campaña dirigida a partir pública es CVE-2.017 hasta 11.882, una vulnerabilidad editor de ecuaciones que fue parcheado por Microsoft de noviembre 14, 2017 como parte del martes de parches. La vulnerabilidad se encuentra en Microsoft Editor de ecuaciones, un componente de Microsoft Office, y es una vulnerabilidad de desbordamiento de pila que permite ejecución remota de código en un sistema vulnerable. El componente se compiló de noviembre 9, 2000.
Desde el asesor oficial: “Existe una vulnerabilidad de ejecución remota de código en el software de Microsoft Office cuando el software no maneja adecuadamente objetos en memoria. Un atacante que aprovechara esta vulnerabilidad podría ejecutar código arbitrario en el contexto del usuario actual. Si el usuario actual inicia sesión con derechos de usuario administrativos, un atacante podría tomar el control del sistema afectado.”
Malware asociado con esta vulnerabilidad incluye AgentTesla, Andrómeda, BONDUPDATER, HAWKEYE, Kit LCG, Loki, POWRUNNER, QuasarRAT, REMCOS RAT, ThreadKit Exploit Kit.
A pesar de que esta vulnerabilidad es relativamente antigua, que fue explotado en las campañas de spam activos detectados este mes de junio. Como se informó, una campaña de malware activo que está utilizando mensajes de correo electrónico en las lenguas europeas distribuye los archivos RTF que llevan el CVE-2017 hasta 11.882 exploit. La vulnerabilidad permite a un atacante la ejecución automática de código malicioso sin la necesidad de ninguna interacción del usuario.
CVE-2018-0802
Esta es otra vulnerabilidad de ejecución remota de código en el editor de ecuaciones de software de Microsoft Office que se activa cuando el software no maneja adecuadamente objetos en memoria. Editor de ecuaciones en Microsoft Office 2007, Microsoft Office 2010, Microsoft Office 2013, y Microsoft Office 2016 es vulnerable debido a la forma en que los objetos se manejan en la memoria.
¿Por qué los atacantes encanta explotar las vulnerabilidades de Microsoft Office CVE-2.017-11.882 y CVE-2.018-0802
La explicación es que los atacantes prefieren sencilla, errores lógicos, Kaspersky dijo. Es por ello que estas vulnerabilidades editor de dos ecuaciones son uno de los insectos más explotados en Microsoft Office. Los insectos son “trabajo confiable y en cada versión de Word lanzado en el pasado 17 año". Y lo que es más importante es que la creación de un exploit para ninguno de los dos no requiere conocimientos avanzados y conocimientos técnicos específicos. Y la razón de esto es porque “el binario editor de ecuaciones no tiene ninguna de las protecciones y mitigaciones modernas que cabría esperar de una aplicación en 2018", los investigadores observaron.
CVE-2017-0199
De acuerdo a un análisis por Future grabada, CVE-2017-0199 es la más explotada error de MS Office 2017. El error fue detectado por los investigadores FireEye en Abril, 2017. El problema reside en documentos RTF de MS Office, y podría permitir a los atacantes para descargar y ejecutar un script de Visual Basic que contiene comandos de PowerShell, con la condición de que el usuario abre un documento que contiene un exploit incrustado.
Los investigadores analizaron una serie de documentos de Office explotando CVE-2.017 hasta 0.199 que descargado y ejecutado cargas maliciosas de varias familias de malware conocidos. El error se utiliza sobre todo por el llamado Gorgon Grupo que operan en Pakistán, que dirige principalmente organizaciones gubernamentales en el U.K. y los Estados Unidos.
Malware asociado con CVE-2017-0199 incluye DMShell ++, njRAT, Poni, QuasarRAT, REMCOS RAT, shutterspeed, Silencio Doc Exploit Kit, Threadkit Exploit Kit. El software malicioso vulnerabilidad permite que se inserte en los documentos por abusar de la actualización automática de los enlaces incorporados.
https://sensorstechforum.com/microsoft-office-infections-cve-2017-0199/”] Diseñar los piratas informáticos de Microsoft Office a través de Infecciones CVE-2.017 a 0199 Exploit
CVE-2017-8570
Este es uno más de los principales vulnerabilidades de Microsoft Office. De acuerdo con la asesor oficial, Microsoft Office es propenso a una vulnerabilidad de ejecución de código remoto que puede ser aprovechada para ejecutar código arbitrario en el contexto del usuario que ha iniciado sesión en. Fallidos intentos de explotación podrían resultar en la negación de las condiciones de servicio.
La vulnerabilidad ha sido explotada para distribuir formbook, QuasarRAT, Sisfader RAT, Threadkit Exploit Kit, y el malware Trickbot. Es de destacar que la Sisfader RAT mantiene la persistencia mediante la instalación de sí mismo como un servicio cuando lanzado desde archivos RTF maliciosos.
CVE-2019-1035
La vulnerabilidad fue parcheado en junio 2019 Martes de parches, y se considera muy grave. De acuerdo con Allan Liska, soluciones arquitecto mayor en Recorded Future, "esta es otra vulnerabilidad de corrupción de memoria que requiere un atacante para enviar un documento de Microsoft Word especialmente diseñado para una víctima para abrir, alternativamente, un atacante podría convencer a la víctima para hacer clic en un enlace a un sitio web de alojamiento de un documento de Microsoft Word malicioso."
Lo peor es que la falla afecta a todas las versiones de Microsoft Word en Windows y Mac sistemas operativos, así como la Oficina 365. "Dado que los documentos de Microsoft Word son una herramienta de explotación favorita de los cibercriminales, Si esta vulnerabilidad es la ingeniería inversa podría ser ampliamente explotada,”El investigador añadió.
Pues resulta que, atacantes encanta explotar las vulnerabilidades de Microsoft Office. Los defectos que en la lista anterior son sin duda grave, pero no son más que una pequeña porción del arsenal utilizado por los agentes de amenaza. Parchear el sistema operativo tan pronto como llegue una revisión de seguridad es muy importante, pero a veces puede no ser suficiente, como es evidente por la gran cantidad de ataques de día cero (dirigidas no sólo a productos de Microsoft, sino también una serie de otros programas). Como muchas de las campañas de explotación se extienden a través de correo electrónico y requieren la interacción del usuario de abrir un correo electrónico malicioso / archivo / link, la adopción de concienciación sobre la seguridad de suplantación de identidad se convierte en una prioridad tanto para la empresa y los usuarios domésticos.
Milena Dimitrova
Un escritor inspirado y administrador de contenido que ha estado con SensorsTechForum desde que comenzó el proyecto.. Un profesional con 10+ años de experiencia en la creación de contenido atractivo. Centrado en la privacidad de los usuarios y el desarrollo de malware, ella cree firmemente en un mundo donde la seguridad cibernética juega un papel central. Si el sentido común no tiene sentido, ella estará allí para tomar notas. Esas notas pueden convertirse más tarde en artículos! Siga Milena @Milenyim
Sígueme: