‘Los autores de malware todavía logran sus objetivos basándose en vulnerabilidades antiguas’, advierten investigadores de seguridad sobre Microsoft Office.
Los ciberdelincuentes están explotando las vulnerabilidades de seguridad en Microsoft Office que se conocen desde hace años para infectar las PC con malware en ataques que demuestran la importancia de aplicar actualizaciones de ciberseguridad.
Como detallaron los investigadores de seguridad cibernética de Fortinet, los ciberdelincuentes se están aprovechando de las fallas de seguridad sin parchear para entregar SmokeLoader.
Este es una forma de malware que se instala en las máquinas con Windows con la intención de usarlo para entregar malware adicional, incluido Trickbot y varias puertas traseras y troyanos. programa malicioso.
Ambas vulnerabilidades tienen casi cinco años, pero el hecho de que se utilicen para distribuir SmokeLoader demuestra que siguen siendo eficaces.
Las vulnerabilidades de Microsoft Office explotadas por hackers
El primero es CVE-2017-0199, una vulnerabilidad en Microsoft Office que surgió por primera vez en 2017 y que permite a los atacantes descargar y ejecutar scripts de PowerShell en redes comprometidas, brindándoles la capacidad de obtener acceso adicional a los sistemas.
El segundo es CVE-2017-11882, una vulnerabilidad de desbordamiento de búfer de pila en Microsoft Office que permite la ejecución remota de código.
Los parches de seguridad para ambas vulnerabilidades han estado disponibles desde que se divulgaron públicamente, hace cinco años.
Al igual que muchas otras campañas de malware, los ciberdelincuentes utilizan correos electrónicos de phishing para obligar a las víctimas a caer en el ataque.
En este caso, los investigadores detallan cómo el correo electrónico de phishing le pide al destinatario que revise una orden de compra y los tiempos de envío para confirmar si son correctos.
El correo electrónico intenta parecer lo más legítimo posible, incluida una firma completa con los datos de contacto relacionados.
Para ver lo que supuestamente es una orden de compra, se le pide al usuario que abra un documento de Microsoft Office que tiene ‘protecciones’.
Se le pide al usuario que habilite la edición para verlo, y es esto lo que permite que el documento malicioso ejecute el código necesario para explotar las vulnerabilidades, infectando el dispositivo víctima con malware.
«Si bien CVE-2017-0199 y CVE-2017-11882 se descubrieron en 2017, todavía se explotan activamente en esta y otras campañas de malware», dijo James Slaughter, ingeniero senior de inteligencia de amenazas en Fortinet.
«Esto demuestra que los creadores de malware aún logran sus objetivos al confiar en las vulnerabilidades antiguas, a menudo varios años después de salir a la luz, y confiar en que las soluciones afectadas no se repararán», agregó.
Las vulnerabilidades de seguridad sin parches siguen siendo uno de los vectores de ataque más comunes para los ciberdelincuentes, muchos de los cuales escanearán activamente Internet en busca de sistemas y servidores vulnerables.
Por lo tanto, es vital que las organizaciones apliquen actualizaciones de seguridad lo más rápido posible para evitar ataques de malware.
Los investigadores señalan que SmokeLoader se usa para entregar Trickbot. Trickbot se usa comúnmente para entregar ransomware y otras amenazas cibernéticas maliciosas que podrían ser extremadamente perjudiciales.
La mejor manera de evitar ser víctima de SmokeLoader y otras campañas es asegurarse de que se apliquen los parches de seguridad, especialmente porque en este caso, una solución ha estado disponible durante años.
Te puede interesar: Microsoft está a punto de revelar la «nueva generación» de Windows
En La Verdad Noticias tenemos las noticias más recientes de Microsoft. Síguenos en Google News, Facebook y Twitter para mantenerte informado.
