Vulnerabilidad en Microsoft Word que puede infectar tu computadora y robar tus datos

0
1377
views

Según un informe de seguridad de la compañía Trustwave SpiderLabslos hackers están usando una técnica de múltiples fases y sin necesidad de macros para robar credenciales desde el ordenador de los usuarios. Se trata de una campaña de SPAM que envía los usuarios documentos maliciosos de Microsoft Word, que se aprovechan de la vulnerabilidad CVE-2017-11882, un error en el editor de ecuaciones del software de Office que permite la ejecución de malware.

La apertura del archivo adjunto descarga un robo de contraseñas como su carga final. Sin embargo, para llegar a esa carga tiene un proceso de infección de cuatro etapas, como se resume a continuación.

A continuación se enumeran algunos de los temas de correo electrónico utilizados en la campaña de correo no deseado:

  • TNT DECLARACIÓN DE CUENTA – {números aleatorios} ……………
  • Solicitud de cotización (RFQ) – <{números aleatorios}>
  • Notificación de transferencia télex
  • SWIFT COPY FOR BALANCE PAYMENT

Examinando el correo electrónico se descubre que tiene un archivo adjunto de documento de Word (receipt.docx)

Los documentos de Word con Office 2007 Open XML Formats se basan en tecnologías de archivo XML y ZIP. Cualquiera puede manipular fácilmente datos en un archivo de Word 2007 de forma programática o manual. Como se muestra a continuación, el archivo adjunto DOCX contiene un objeto OLE incrustado que tiene referencias externas. Esta ‘característica’ permite referenciar el acceso externo a objetos OLE remotos en document.xml.rels.

Cuando el usuario abre el archivo DOCX, hace que se acceda a un archivo de documento remoto desde la URL: hxxp: // gamestoredownload [.] Download / WS-word2017pa [.] Doc. Este es en realidad un archivo RTF que se descarga y se ejecuta.

El archivo RTF explota la vulnerabilidad reciente CVE-2017-11882 que se dirige a la herramienta Editor de ecuaciones MS.

Cuando se ejecuta el archivo RTF, decodificando el ASCII a sus valores equivalentes, se ejecutará una línea de comando MSHTA que descarga y ejecuta un archivo HTA remoto.

El archivo HTA contiene VBScript con código ofuscado. Al decodificar cada código de carácter en VBScript, revela un script de PowerShell que finalmente descarga y ejecuta un archivo binario remoto.

Finalmente, obtenemos la carga útil final, que es un Password Stealer Malware.

Agrega y modifica el registro:

El malware roba las credenciales de los programas de correo electrónico, ftp y navegador al concatenar las cadenas disponibles en la memoria y el uso de las API RegOpenKeyExW y PathFileExistsW para comprobar si existen rutas de acceso o registro de varios programas:

Programas de correo electrónico (cadenas de memoria)

Programas de navegador (cadenas de memoria)

Programas FTP (Cadenas de memoria)

Finalmente, el malware enviará datos a su C & C a través de HTTP POST:

Es bastante inusual encontrar tantas etapas y vectores que se utilizan para descargar malware. De hecho, este enfoque puede ser muy arriesgado para el autor del malware. Si cualquier etapa falla, tendrá un efecto dominó en todo el proceso. Otro punto notable es que el ataque usa tipos de archivos (DOCX, RTF y HTA), que a menudo no son bloqueados por el correo electrónico o las puertas de enlace de red a diferencia de los lenguajes de escritura más obvios como VBS, JScript o WSF.

Indicators of Compromise

DOCX File
MD5: F7DA16B16567A78C49D998AE85021A0F
SHA1: 776C469861C3AC30AA63D9434449498456864653

RTF File
MD5: 79BCAFD6807332AD2B52C61FE05FFD22
SHA1: 0D8215F88C75CD8FBF2DFAB12D47B520ECE94C52

HTA File
MD5: 11B28D4C555980938FE7440629C6E0EC
SHA1: 0ADD65090EF957AA054236FF6DD59B623509EC8B

Final Payload
MD5: EDB27CC321DF63ED62502C172C172D4F
SHA1: C4AA4E70521DD491C16CE1FBAB2D4D225C41D1EA4

 

¿Cómo me protejo de este ataque?

A pesar de que Microsoft restó importancia en un principio, ahora pudo ver que se trata de una vulnerabilidad bastante grave. Con los parches de seguridad de enero de 2018, la compañía finalmente incluyó un parche para mitigar la vulnerabilidad CVE-2017-11882 del editor de ecuaciones de Office, por lo que si tenemos nuestro sistema totalmente actualizado no tendremos de qué preocuparnos.

 

Fuente

Toda la información proporcionada en este medio es para fines educativos, en ningún caso alguno se hace responsable e cualquier mal uso de la información. Toda la información es para el desarrollo e investigación de métodos de seguridad informática.

No olvides visitar nuestra hacking shop

shop