Tienes alguna consulta? (+598) 2400 4378

infouy@sadvisor.com

Nuevo ataque sobre herramientas MS-Office

26 octubre 2017
 octubre 26, 2017
Categoría Noticias

Una nueva técnica de ataque está empezando a ser utilizada para victimizar a  usuarios de correo electrónico. Se trata de una vulnerabilidad recientemente descubierta en la suite de herramientas Microsoft Office, que pone en riesgo a cualquier equipo que la tenga instalada, sin importar su versión. Esto es así dado que permite forzar la descarga de distintas formas de malware sin necesidad de ejecutar macros.

Depende del protocolo DDE de Microsoft, utilizado para compartir datos entre aplicaciones, lo que hace que no tenga que existir un archivo adjunto, ya que, puede actuar desde el cuerpo de un correo o desde una entrada para la agenda o calendario.

La principal amenaza es la introducción en el sistema afectado de lo que se conoce como RAT, o Remote Access Tool, denominación genérica que reciben muchas herramientas, y que permite el acceso remoto sobre un sistema.  Este tipo de programas dispone de  diferentes y múltiples funcionalidades, todas orientadas a poder gestionar remotamente el equipo, activar su micrófono o cámara, utilizar sus programas y copiar sus archivos. Y todo esto sin que el usuario se entere.

Para que la vulnerabilidad funcione sin que haya un archivo adjunto, el atacante tiene que formatear un mensaje de correo, o una invitación para el calendario en formato de texto enriquecido (RTF), lo que permite la ejecución de DDE en forma oculta. Sin embargo, el ataque requiere de la ayuda de la víctima, dado que aparece un mensaje solicitando la confirmación del usuario para que se realice una actualización con contenidos externos, y luego, una segunda confirmación. El problema, es que la mayoría de los usuarios contesta afirmativamente a este tipo de preguntas, sin analizar ni entender lo que se les pregunta.  Por lo tanto, una parte de este tipo de ataque depende de un elemento de ingeniería social, ya que depende de la respuesta –casi automática- que los usuarios dan a las preguntas que aparecen en sus pantallas.

Por el momento, Microsoft no ha expresado intenciones de resolver la vulnerabilidad, lo que podría complicar el funcionamiento del protocolo. Tampoco los mecanismos tradicionales de protección antimalware para puestos de trabajo son una garantía, ya que, por cómo funciona este tipo de ataque, no todos los productos podrán detectarlo. En este sentido, la defensa pasa a depender de las características de detección con que se cuente en el perímetro, y eventualmente en el servidor de correo.

Entre las medidas de precaución para minimizar las chances de recibir un ataque mediante este vector, se encuentran las siguientes:

•En los distintos programas de Office, desactivar la opción de actualizar automáticamente los enlaces al abrir los archivos.

•No abrir adjuntos que provengan de orígenes desconocidos. Si fuera posible, bloquear los adjuntos para ciertas direcciones de correo altamente expuestas.

•Los correos visualizados en modo texto evitan la ejecución de contenidos; es preferible desactivar la lectura de correos en modo HTML o de texto enriquecido.

•No ignorar las preguntas emergentes y entender lo que se está preguntando. En caso de duda, preguntar o responder que no, siempre es menos riesgoso.

•Considerar el uso de una solución de seguridad adecuada para el servidor de correo, con el objetivo de poder detectar este tipo de amenazas y otras, en los correos recibidos.