Ciberdelincuentes descubrieron un método de omisión para el parche de Microsoft Office asociado a la vulnerabilidad CVE-2021-40444 la cual se destaca por permitir la ejecución remota de código malicioso afectando el formato de archivos MSHTML, estos están utilizando dicha brecha para propagar el malware Formbook, utilizado para ciber espionaje y con la posibilidad de recibir comandos desde un servidor de comando y control.
Los atacantes buscan engañar a sus víctimas con el objetivo que confíen en los archivos adjuntos, previamente modificados para que al ser abiertos se propague el malware. Durante el mes de septiembre, fecha en la cual se lanzó el parche CVE-2021-40444, Microsoft dio a conocer que se usaron documentos de office elaborados, los cuales se distribuyeron por medio de correos falsos asociados a contratos y acuerdos legales.
En los ataques iniciales, el código malicioso desplegado a través de la apertura del archivo generaba la descarga de un archivo Microsoft Cabinet (CAB), este fue mitigado con el parche mencionado anteriormente pero debido a la disponibilidad del código de explotación dado a conocer en la POC asociada a la vulnerabilidad se incrementaron los intentos de explotación de la misma, provocando que los atacantes identificaran una brecha que permite cargar un documento de Word modificado en un archivo .RAR, el cual, elude el parche debido a que fue diseñado para identificar únicamente archivos de tipo CAB.
Según las investigaciones realizadas por el personal de Sophos, los atacantes realizaron la difusión de los archivos .RAR a través de correos electrónicos durante un lapso de 36 horas entre el 24 y 25 de octubre, por lo que se determinó que estos fueron utilizados como un experimento para verificar la eficacia del ataque, dichos mensajes, utilizaron un archivo modificado llamado Profile.rar, el cual contenía un script elaborado en el motor Windows Scripting Host y el documento de Word, una vez la victima abría el archivo .RAR para tener acceso al documento, se ejecutaba el script que ubicaba el malware Formbook en el equipo, otra particularidad es que las versiones recientes de WinRAR son vulnerables, mientras que versiones como la 3.61 y anteriores generaron errores al intentar abrir el archivo malicioso.
Los investigadores de Sophos concluyeron que el enfoque específico del parche hacia los archivos de tipo CAB permitieron a los atacantes utilizar el mismo método, pero modificando el tipo de archivo, por esto se hace necesario tener en cuenta este tipo de variables a la hora de generar los parches, para así evitar la explotación de vulnerabilidades ya conocidas con la inclusión de modificaciones en sus patrones de uso. Hasta el momento Microsoft no se ha pronunciado al respecto, aunque se espera que el parche reciba una actualización en los próximos días.
Recomendaciones
Teniendo en cuenta el tipo de vulnerabilidad se sugiere realizar campañas de concientización con el personal de las compañías sobre todo con aquellos usuarios que manejen roles con privilegios altos, esto con el fin de que estos tengan la capacidad de identificar correos sospechosos y se pueda así evitar la propagación de cualquier tipo de malware en sus equipos.
Casos de uso *:
- Gestion y/o Acceso a Plataformas.
- Seguimiento de actividades de un posible Ataque de día Cero.
- Reconocimiento y / o Vulnerabilidades.
*Para contar con estas detecciones el cliente requiere tener servicios de SOC contratados.
Para más información puede consultar las siguientes fuentes asociadas a la noticia:
- https://securityaffairs.co/wordpress/125927/malware/ms-office-cve-2021-40444-bypass-malware.html
- https://www.helpnetsecurity.com/2021/12/22/cve-2021-40444-patch-bypass/
- https://www.sophos.com/en-us/press-office/press-releases/2021/12/attackers-bypass-critical-microsoft-office-patch-by-adapting-a-novel-exploit.aspx
- https://www.itsecuritynews.info/crooks-bypass-a-microsoft-office-patch-for-cve-2021-40444-to-spread-formbook-malware/
- https://thehackernews.com/2021/12/new-exploit-lets-malware-attackers.html
