La función incorporada de MS Office permite la ejecución de malware sin macros activada


Dado que las nuevas formas de ciberdelincuencia están en aumento, las técnicas tradicionales parecen estar desplazándose hacia más clandestinas que implican la explotación de herramientas y protocolos estándar del sistema, que no siempre son monitoreados.

Los investigadores de seguridad del grupo de investigación Talos de Cisco han descubierto una de esas campañas de ataque que difunde documentos Microsoft Word equipados con malware que ejecutan el código en el dispositivo de destino sin que se requieran macros o corrupción de memoria.

Esta ejecución de código Macro-less en la técnica de MSWorddescrita en detalle el lunes por un par de investigadores de seguridad de Sensepost, Etienne Stalmans y Saif El-Sherei, que aprovecha una característica incorporada de MS Office, llamada Dynamic Data Exchange (DDE) , para ejecutar el código.

El protocolo DDE (Dynamic Data Exchange) es uno de los varios métodos que Microsoft permite a dos aplicaciones en ejecución compartir los mismos datos. El protocolo puede ser utilizado por aplicaciones para transferencias de datos únicas y para intercambios continuos en los que las aplicaciones envían actualizaciones entre sí a medida que se disponen de nuevos datos.

Miles de aplicaciones utilizan el protocolo DDE, incluyendo Microsoft Excel, MS Word, Quattro Pro y Visual Basic.

La técnica de explotación descrita por los investigadores no muestra advertencias de “seguridad” a las víctimas, excepto pidiéndoles si desean ejecutar la aplicación especificada en el comando. Sin embargo, esta alerta emergente también podría ser eliminada “con una modificación de sintaxis adecuada”, dicen los investigadores.

El dúo también ha proporcionado un video de prueba de concepto que demuestra la técnica.

MS Word DDE este ataque puede ser activamente explotado

Según lo descrito por los investigadores de Cisco, esta técnica fue encontrada explotada activamente por los hackers para dirigirse a varias organizaciones que usan correos electrónicos de phishing, que fueron falsificados para hacer que parezcan enviados por la Securities and Exchange Commission convencer a los usuarios para que los abran.

“Los mensajes de correo electrónico en sí contenían un archivo adjunto malicioso [MS Word] que cuando se abriera iniciaría un sofisticado proceso de infección en múltiples etapas que conduciría a la infección con el malware de DNSMessenger”, lee una publicación por investigadores de Talos.

A principios de marzo, los investigadores de Talos encontraron atacantes distribuyendo DNSMessenger-un troyano de acceso remoto sin archivos (RAT) que utiliza consultas DNS para llevar a cabo comandos maliciosos de PowerShell en computadoras comprometidas.

Una vez abierto, las víctimas recibirían un mensaje informándoles que el documento contiene enlaces a archivos externos, pidiéndoles que permitan o denieguen que el contenido sea recuperado y visualizado.

Si se permite, el documento malicioso se comunicará con el contenido alojado del atacante para recuperar el código que se ejecutará para iniciar la infección por malware de DNSMessenger.

“Curiosamente, el campo DDEAUTO utilizado por este documento malicioso recuperó el código que el atacante había albergado inicialmente en un sitio web del gobierno estatal de Luisiana, que aparentemente estaba comprometido y se usaba para este propósito”, dicen los investigadores.
Cómo protegerse y detectar ataques de DDE de MS Word

¿Qué es más preocupante? Microsoft no considera esto como un problema de seguridad, sino que según la compañía el protocolo DDE es una característica que no se puede eliminar, pero que podría mejorarse con mejores alertas de advertencia para los usuarios en el futuro.

Aunque no hay forma directa de deshabilitar la ejecución de código DDE, los usuarios pueden supervisar proactivamente los registros de sucesos del sistema para comprobar la posible explotación.

Además, los investigadores de NVISO Labs también compartieron dos reglas YARA para detectar vector DDE en archivos Open XML de Office.

La mejor manera de protegerse de tales ataques de malware es siempre sospechar de cualquier documento no solicitado enviado a través de un correo electrónico y nunca haga clic en los enlaces dentro de esos documentos a menos que verifique correctamente el origen.

Vía |thehackernews

log in

reset password

Back to
log in