Tienda Wifi

Tienda Wifi
CiudadWireless es la tienda Wifi recomendada por elhacker.NET

Buscador

Entradas Mensuales

Suscripción

¿Quieres recibir las últimas novedades del blog en tu correo?

¡Suscríbete al feed!

Foro de elhacker.net - Noticias

elhacker.NET en Facebook

Entradas populares

PostHeaderIcon Documentos que instalan un backdoor a través de una reciente vulnerabilidad en Office




Un reciente vulnerabilidad en Microsoft Office que en abril de 2015 ya fue parcheada por Micorsoft, hace ya varias semanas que ataca para instalar una puerta trasera (backdoor) en los ordenadores Windows de forma activa.





 Introducción


Los Kits de creación de virus no son nuevos: los primeros (VCL, PS-MPC) fueron creados a principios de 1990 para generar virus de MS-DOS.

Se produjeron estas herramientas de creación de virus ya no necesitan saber nada subyacente detalles del sistema operativo o de cómo programar en el montaje idioma. Simplemente tenían que modificar un archivo de configuración y ejecutar la herramienta.

Como aparecieron nuevos tipos de malware, nuevos generadores de virus siguieron. Nosotros vimos
herramientas para la construcción de Microsoft Office virus de macro (Desarrollo de virus de macro
Kit, Kit Virus de construcción Macro Pesadilla Joker Word, Word97 Virú Macro Kit de Construcción), gusanos de Visual Basic Script (VBS Generador Worm), DOS por lotes virus (Virus Kit lotes de construcción, Generadores Gusano por lotes) y mucho más.

Estos kits de creación de virus de día tienen un propósito totalmente diferente: hacer dinero. Los cibercriminales utilizan mercados subterráneos de vender cualquiera las propias o las muestras de malware generados generadores.

El malware de Microsoft Office ya no es tan abundante como lo fue en la década de 1990, pero todavía existen kits para generar malware que se propaga a través de documentos en lugar de a través de programas o archivos de script.

El kit de creación de malware oficina más influyente hoy es Microsoft Word Intruder (MWI), desarrollado en Rusia.

MWI puede generar dos tipos de documentos maliciosos:

  • Droppers
  • Downloaders

Droppers son instaladores independientes que ofrecen el malware empaquetado derecha en elboobytrapped
Documento RTF en sí.. Downloaders se conectan a una URL que está incrustado en el Archivo RTF y traiga el malware a partir de ahí.

Problemática


 Un problema porque muchas organizaciones no instalan las actualizaciones de seguridad para Microsoft Office o esperan mucho tiempop para hacerlo.

Al abrir un documento malicioso, un atacante podría instalar malware en el ordenador. Una táctica que ha sido aplicado con éxito. El año pasado hizo la firma antivirus Sophos británica estudio (pdf) para las vulnerabilidades que los atacantes utilizan para este tipo de ataque. Dos bugs, uno de 2010 y otro de 2012, fue atacado por la mayoría de los documentos maliciosos. Además de otras encuestas muestran que la vulnerabilidad en el año 2012 el objetivo favorito de los atacantes.




Aunqueya hace cincoc meses que hay una actualización del fallo de Office está disponible, la cuestión es saber cuántas organizaciones lo han instalad. Incluso antes del parche de Microsoft lanzaron la vulnerabilidad para atacar.

Microsoft Security Bulletin MS15-033 - Critical  

Vulnerabilities in Microsoft Office Could Allow Remote Code Execution (3048019)
 CVE-2012-0158 es una de estas vulnerabilidades. Parcheada en abril de 2012, existe la vulnerabilidad de desbordamiento de búfer en determinados controles ActiveX y puede ser explotado a través de un fichero Word malicioso, Excel o archivo RTF.


A principios de agosto Sophos investiga y publica una serie de artículos que tratan de tomar ventaja de la fuga. Los documentos tienen temas como "WUPOS_update.doc", "ammendment.doc", "Información 2.doc" y "Anti-Money Anillo Laude y cases.doc sospechoso".




Primera aparición Nombre documento adjunto
2015-08-04 WUPOS_update.doc
2015-08-04 ammendment.doc
2015-08-24 Anti-Money Laudering & Suspicious cases.doc
2015-08-26 Application form USD duplicate payment.doc
2015-08-27 AML USD & Suspicious cases.doc
2015-09-01 Amendment inquiry ( reference TF1518869100.doc
2015-09-01 Information 2.doc


En caso de que los archivos se abren en una máquina sin parchear, el código en el documento llamado Uwarrior instalar una puerta trasera en el equipo. Esto permite al atacante el control total de la máquina.

Para prevenir la infección, los gerentes y los usuarios se les recomienda parchear Office y no abrir documentos inesperados o no solicitados. La semana pasada advirtió IBM todos los archivos adjuntos de correo electrónico para hacer una reaparición como un vector de ataque.

Análisis técnico del virus:
https://www.sophos.com/en-us/medialibrary/PDFs/technical%20papers/sophos-microsoft-word-intruder-revealed.pdf






Más info:
https://nakedsecurity.sophos.com/2015/09/08/anatomy-of-a-malicious-email-recent-word-hole/

0 comentarios :

Publicar un comentario en la entrada

Los comentarios pueden ser revisados en cualquier momento por los moderadores.

Serán publicados aquellos que cumplan las siguientes condiciones:
- Comentario acorde al contenido del post.
- Prohibido mensajes de tipo SPAM.
- Evite incluir links innecesarios en su comentario.
- Contenidos ofensivos, amenazas e insultos no serán permitidos.

Debe saber que los comentarios de los lectores no reflejan necesariamente la opinión del STAFF.