{"id":5462,"date":"2022-01-12T15:13:02","date_gmt":"2022-01-12T20:13:02","guid":{"rendered":"https:\/\/etek.com\/es\/?p=5462"},"modified":"2022-01-12T15:13:02","modified_gmt":"2022-01-12T20:13:02","slug":"atacantes-eluden-parche-de-office-para-propagar-malware","status":"publish","type":"post","link":"https:\/\/etek.com\/es\/atacantes-eluden-parche-de-office-para-propagar-malware\/","title":{"rendered":"Atacantes eluden parche de Office para propagar malware"},"content":{"rendered":"\t\t<div data-elementor-type=\"wp-post\" data-elementor-id=\"5462\" class=\"elementor elementor-5462\" data-elementor-post-type=\"post\">\n\t\t\t\t\t\t<section class=\"elementor-section elementor-top-section elementor-element elementor-element-99adfa2 elementor-section-boxed elementor-section-height-default elementor-section-height-default\" data-id=\"99adfa2\" data-element_type=\"section\">\n\t\t\t\t\t\t<div class=\"elementor-container elementor-column-gap-default\">\n\t\t\t\t\t<div class=\"elementor-column elementor-col-100 elementor-top-column elementor-element elementor-element-f195faa\" data-id=\"f195faa\" data-element_type=\"column\">\n\t\t\t<div class=\"elementor-widget-wrap elementor-element-populated\">\n\t\t\t\t\t\t<div class=\"elementor-element elementor-element-52da9c7 elementor-widget elementor-widget-text-editor\" data-id=\"52da9c7\" data-element_type=\"widget\" data-widget_type=\"text-editor.default\">\n\t\t\t\t<div class=\"elementor-widget-container\">\n\t\t\t<style>\/*! elementor - v3.20.0 - 13-03-2024 *\/\n.elementor-widget-text-editor.elementor-drop-cap-view-stacked .elementor-drop-cap{background-color:#69727d;color:#fff}.elementor-widget-text-editor.elementor-drop-cap-view-framed .elementor-drop-cap{color:#69727d;border:3px solid;background-color:transparent}.elementor-widget-text-editor:not(.elementor-drop-cap-view-default) .elementor-drop-cap{margin-top:8px}.elementor-widget-text-editor:not(.elementor-drop-cap-view-default) .elementor-drop-cap-letter{width:1em;height:1em}.elementor-widget-text-editor .elementor-drop-cap{float:left;text-align:center;line-height:1;font-size:50px}.elementor-widget-text-editor .elementor-drop-cap-letter{display:inline-block}<\/style>\t\t\t\t<p>Ciberdelincuentes descubrieron un m\u00e9todo de omisi\u00f3n para el parche de Microsoft Office asociado a la vulnerabilidad CVE-2021-40444 la cual se destaca por permitir la ejecuci\u00f3n remota de c\u00f3digo malicioso afectando el formato de archivos MSHTML, estos est\u00e1n utilizando dicha brecha para propagar el malware Formbook, utilizado para ciber espionaje y con la posibilidad de recibir comandos desde un servidor de comando y control.<\/p><p>Los atacantes buscan enga\u00f1ar a sus v\u00edctimas con el objetivo que conf\u00eden en los archivos adjuntos, previamente modificados para que al ser abiertos se propague el malware. Durante el mes de septiembre, fecha en la cual se lanz\u00f3 el parche CVE-2021-40444, Microsoft dio a conocer que se usaron documentos de office elaborados, los cuales se distribuyeron por medio de correos falsos asociados a contratos y acuerdos legales.<\/p><p><br \/>En los ataques iniciales, el c\u00f3digo malicioso desplegado a trav\u00e9s de la apertura del archivo generaba la descarga de un archivo Microsoft Cabinet (CAB), este fue mitigado con el parche mencionado anteriormente pero debido a la disponibilidad del c\u00f3digo de explotaci\u00f3n dado a conocer en la POC asociada a la vulnerabilidad se incrementaron los intentos de explotaci\u00f3n de la misma, provocando que los atacantes identificaran una brecha que permite cargar un documento de Word modificado en un archivo .RAR, el cual, elude el parche debido a que fue dise\u00f1ado para identificar \u00fanicamente archivos de tipo CAB.<\/p>\t\t\t\t\t\t<\/div>\n\t\t\t\t<\/div>\n\t\t\t\t\t<\/div>\n\t\t<\/div>\n\t\t\t\t\t<\/div>\n\t\t<\/section>\n\t\t\t\t<section class=\"elementor-section elementor-top-section elementor-element elementor-element-c901a6d elementor-section-boxed elementor-section-height-default elementor-section-height-default\" data-id=\"c901a6d\" data-element_type=\"section\">\n\t\t\t\t\t\t<div class=\"elementor-container elementor-column-gap-default\">\n\t\t\t\t\t<div class=\"elementor-column elementor-col-100 elementor-top-column elementor-element elementor-element-28f5256\" data-id=\"28f5256\" data-element_type=\"column\">\n\t\t\t<div class=\"elementor-widget-wrap elementor-element-populated\">\n\t\t\t\t\t\t<div class=\"elementor-element elementor-element-966a04e elementor-widget elementor-widget-image\" data-id=\"966a04e\" data-element_type=\"widget\" data-widget_type=\"image.default\">\n\t\t\t\t<div class=\"elementor-widget-container\">\n\t\t\t<style>\/*! elementor - v3.20.0 - 13-03-2024 *\/\n.elementor-widget-image{text-align:center}.elementor-widget-image a{display:inline-block}.elementor-widget-image a img[src$=\".svg\"]{width:48px}.elementor-widget-image img{vertical-align:middle;display:inline-block}<\/style>\t\t\t\t\t\t\t<figure class=\"wp-caption\">\n\t\t\t\t\t\t\t\t\t\t<img decoding=\"async\" src=\"https:\/\/etek.com\/es\/wp-content\/uploads\/2022\/01\/Atacantes-eluden-parche-de-Office-para-propagar-malware-2.png\" title=\"\" alt=\"\" loading=\"lazy\" \/>\t\t\t\t\t\t\t\t\t\t\t<figcaption class=\"widget-image-caption wp-caption-text\">Proceso de explotaci\u00f3n (tomado de SOPHOS).<\/figcaption>\n\t\t\t\t\t\t\t\t\t\t<\/figure>\n\t\t\t\t\t\t\t<\/div>\n\t\t\t\t<\/div>\n\t\t\t\t\t<\/div>\n\t\t<\/div>\n\t\t\t\t\t<\/div>\n\t\t<\/section>\n\t\t\t\t<section class=\"elementor-section elementor-top-section elementor-element elementor-element-65fee42 elementor-section-boxed elementor-section-height-default elementor-section-height-default\" data-id=\"65fee42\" data-element_type=\"section\">\n\t\t\t\t\t\t<div class=\"elementor-container elementor-column-gap-default\">\n\t\t\t\t\t<div class=\"elementor-column elementor-col-100 elementor-top-column elementor-element elementor-element-7c42c0a\" data-id=\"7c42c0a\" data-element_type=\"column\">\n\t\t\t<div class=\"elementor-widget-wrap elementor-element-populated\">\n\t\t\t\t\t\t<div class=\"elementor-element elementor-element-8bcae72 elementor-widget elementor-widget-text-editor\" data-id=\"8bcae72\" data-element_type=\"widget\" data-widget_type=\"text-editor.default\">\n\t\t\t\t<div class=\"elementor-widget-container\">\n\t\t\t\t\t\t\t<p>Seg\u00fan las investigaciones realizadas por el personal de Sophos, los atacantes realizaron la difusi\u00f3n de los archivos .RAR a trav\u00e9s de correos electr\u00f3nicos durante un lapso de 36 horas entre el 24 y 25 de octubre, por lo que se determin\u00f3 que estos fueron utilizados como un experimento para verificar la eficacia del ataque, dichos mensajes, utilizaron un archivo modificado llamado Profile.rar, el cual conten\u00eda un script elaborado en el motor Windows Scripting Host y el documento de Word, una vez la victima abr\u00eda el archivo .RAR para tener acceso al documento, se ejecutaba el script que ubicaba el malware Formbook en el equipo, otra particularidad es que las versiones recientes de WinRAR son vulnerables, mientras que versiones como la 3.61 y anteriores generaron errores al intentar abrir el archivo malicioso.<\/p><p><br \/>Los investigadores de Sophos concluyeron que el enfoque espec\u00edfico del parche hacia los archivos de tipo CAB permitieron a los atacantes utilizar el mismo m\u00e9todo, pero modificando el tipo de archivo, por esto se hace necesario tener en cuenta este tipo de variables a la hora de generar los parches, para as\u00ed evitar la explotaci\u00f3n de vulnerabilidades ya conocidas con la inclusi\u00f3n de modificaciones en sus patrones de uso. Hasta el momento Microsoft no se ha pronunciado al respecto, aunque se espera que el parche reciba una actualizaci\u00f3n en los pr\u00f3ximos d\u00edas.<\/p><p><br \/><strong>Recomendaciones<\/strong><br \/>Teniendo en cuenta el tipo de vulnerabilidad se sugiere realizar campa\u00f1as de concientizaci\u00f3n con el personal de las compa\u00f1\u00edas sobre todo con aquellos usuarios que manejen roles con privilegios altos, esto con el fin de que estos tengan la capacidad de identificar correos sospechosos y se pueda as\u00ed evitar la propagaci\u00f3n de cualquier tipo de malware en sus equipos.<\/p><p><br \/><strong>Casos de uso *:<\/strong><\/p><ul><li>Gestion y\/o Acceso a Plataformas.<\/li><li>Seguimiento de actividades de un posible Ataque de d\u00eda Cero.<\/li><li>Reconocimiento y \/ o Vulnerabilidades.<\/li><\/ul><p><br \/><em>*Para contar con estas detecciones el cliente requiere tener servicios de SOC contratados.<\/em><\/p><p><br \/><strong>Para m\u00e1s informaci\u00f3n puede consultar las siguientes fuentes asociadas a la noticia:<br \/><br \/><\/strong><\/p><ul><li><a href=\"https:\/\/securityaffairs.co\/wordpress\/125927\/malware\/ms-office-cve-2021-40444-bypass-malware.html\">https:\/\/securityaffairs.co\/wordpress\/125927\/malware\/ms-office-cve-2021-40444-bypass-malware.html<\/a><\/li><li><a href=\"https:\/\/www.helpnetsecurity.com\/2021\/12\/22\/cve-2021-40444-patch-bypass\/\">https:\/\/www.helpnetsecurity.com\/2021\/12\/22\/cve-2021-40444-patch-bypass\/<\/a><\/li><li><a href=\"https:\/\/www.sophos.com\/en-us\/press-office\/press-releases\/2021\/12\/attackers-bypass-critical-microsoft-office-patch-by-adapting-a-novel-exploit.aspx\">https:\/\/www.sophos.com\/en-us\/press-office\/press-releases\/2021\/12\/attackers-bypass-critical-microsoft-office-patch-by-adapting-a-novel-exploit.aspx<\/a><\/li><li><a href=\"https:\/\/www.itsecuritynews.info\/crooks-bypass-a-microsoft-office-patch-for-cve-2021-40444-to-spread-formbook-malware\/\">https:\/\/www.itsecuritynews.info\/crooks-bypass-a-microsoft-office-patch-for-cve-2021-40444-to-spread-formbook-malware\/<\/a><\/li><li><a href=\"https:\/\/thehackernews.com\/2021\/12\/new-exploit-lets-malware-attackers.html\">https:\/\/thehackernews.com\/2021\/12\/new-exploit-lets-malware-attackers.html<\/a><\/li><\/ul>\t\t\t\t\t\t<\/div>\n\t\t\t\t<\/div>\n\t\t\t\t\t<\/div>\n\t\t<\/div>\n\t\t\t\t\t<\/div>\n\t\t<\/section>\n\t\t\t\t<\/div>\n\t\t","protected":false},"excerpt":{"rendered":"<p>Ciberdelincuentes descubrieron un m\u00e9todo de omisi\u00f3n para el parche de Microsoft Office asociado a la vulnerabilidad CVE-2021-40444 la cual se destaca por permitir la ejecuci\u00f3n remota de c\u00f3digo malicioso afectando el formato de archivos MSHTML, estos est\u00e1n utilizando dicha brecha para propagar el malware Formbook, utilizado para ciber espionaje y con la posibilidad de recibir [&hellip;]<\/p>\n","protected":false},"author":2,"featured_media":5463,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[1],"tags":[],"_links":{"self":[{"href":"https:\/\/etek.com\/es\/wp-json\/wp\/v2\/posts\/5462"}],"collection":[{"href":"https:\/\/etek.com\/es\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/etek.com\/es\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/etek.com\/es\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/etek.com\/es\/wp-json\/wp\/v2\/comments?post=5462"}],"version-history":[{"count":0,"href":"https:\/\/etek.com\/es\/wp-json\/wp\/v2\/posts\/5462\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/etek.com\/es\/wp-json\/"}],"wp:attachment":[{"href":"https:\/\/etek.com\/es\/wp-json\/wp\/v2\/media?parent=5462"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/etek.com\/es\/wp-json\/wp\/v2\/categories?post=5462"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/etek.com\/es\/wp-json\/wp\/v2\/tags?post=5462"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}