Tutoriales y Manuales
Entradas Mensuales
-
►
2024
(Total:
1090
)
- ► septiembre (Total: 50 )
-
►
2023
(Total:
710
)
- ► septiembre (Total: 65 )
-
►
2022
(Total:
967
)
- ► septiembre (Total: 72 )
-
►
2021
(Total:
730
)
- ► septiembre (Total: 56 )
-
►
2020
(Total:
212
)
- ► septiembre (Total: 21 )
-
►
2019
(Total:
102
)
- ► septiembre (Total: 14 )
-
►
2017
(Total:
231
)
- ► septiembre (Total: 16 )
-
►
2016
(Total:
266
)
- ► septiembre (Total: 38 )
-
▼
2015
(Total:
445
)
- ► septiembre (Total: 47 )
-
▼
julio
(Total:
40
)
- Vulnerabilidad crítica en Bind explotable remotamente
- Posibles soluciones contra el fallo MMS de Android...
- Opciones de privacidad y seguridad en Mozilla Firefox
- Bug en Red Hat y derivados, permite a un usuario l...
- Bettercap, un completo framework para hacer MITM ...
- 4 nuevas vulnerabilidades 0day para Internet Explorer
- Criminales usan Malware para vaciar cajeros automá...
- Microsoft eliminará de sus resultados las imágenes...
- Comparativa de Google: Usuarios expertos en seguri...
- Docenas de aplicaciones en Google Play visitan sil...
- Nueva versión de WordPress soluciona varios fallos...
- Universal Studios pide quitar una copia pirata de ...
- Evita que el Wifi de tu dispositivo emita informac...
- Hook Analyser 3.2, herramienta de análisis de Malw...
- El documental "Zero Days", agujeros de seguridad a...
- PhotoDNA, la herramienta de Microsoft para combati...
- Detenido en Madrid un delincuente que vendió datos...
- Detenido un joven por instalar una aplicación espí...
- Vulnerabilidad antigua en MongoDB expone accidenta...
- Microsoft publica una actualización crítica para t...
- La No cON Name [NcN] 2015 será gratuita
- Cómo activar el Click to Play de Adobe Flash Playe...
- Disponible wifislax-4.11.1 versión de mantenimiento
- Evadir el Anti-Virus con Shellter 4.0 en Kali Linux
- Telegram sufre un fuerte DDoS de 200Gbps en la zon...
- Muere el presidente de Nintendo a los 55 años de edad
- Componente de Office permite ejecutar código malic...
- Retiran de Google Play una app fraudulenta copia f...
- EMET de Microsoft (Enhanced Mitigation Experience ...
- Anuncian actualización de OpenSSL tras una nueva g...
- Adobe confirma vulnerabilidad crítica 0day en Flas...
- Miembro de Lizard Squad de 17 años declarado culpa...
- I Jornadas Nacionales de Investigación en Ciberseg...
- Los clientes de Hacking Team eran también gobierno...
- Según un estudio, el 8% de las cuentas Instagram s...
- Kali Linux 2.0 aka Kali Santa ya tiene fecha de s...
- Segunda edición de CyberCamp 26-29 de noviembre en...
- Gusanos que se propagan por USB son el malware más...
- Utilizan routers de usuarios domésticos para propa...
- El antivirus Avira gana el caso de una demanda int...
-
►
2014
(Total:
185
)
- ► septiembre (Total: 18 )
-
►
2013
(Total:
100
)
- ► septiembre (Total: 3 )
-
►
2011
(Total:
7
)
- ► septiembre (Total: 1 )
Blogroll
Etiquetas
seguridad
(
396
)
privacidad
(
364
)
google
(
355
)
ransomware
(
341
)
vulnerabilidad
(
305
)
Malware
(
265
)
Windows
(
246
)
android
(
244
)
cve
(
237
)
tutorial
(
237
)
manual
(
222
)
software
(
206
)
hardware
(
196
)
linux
(
127
)
twitter
(
117
)
ddos
(
95
)
WhatsApp
(
92
)
Wifi
(
85
)
cifrado
(
77
)
herramientas
(
75
)
hacking
(
73
)
sysadmin
(
68
)
app
(
65
)
Networking
(
57
)
nvidia
(
53
)
ssd
(
51
)
youtube
(
50
)
firmware
(
44
)
adobe
(
43
)
office
(
41
)
hack
(
40
)
firefox
(
36
)
contraseñas
(
32
)
eventos
(
32
)
antivirus
(
31
)
juegos
(
31
)
cms
(
30
)
flash
(
28
)
anonymous
(
27
)
apache
(
26
)
MAC
(
25
)
programación
(
25
)
exploit
(
23
)
multimedia
(
23
)
javascript
(
22
)
Kernel
(
20
)
ssl
(
19
)
SeguridadWireless
(
17
)
documental
(
16
)
Forense
(
15
)
conferencia
(
15
)
Debugger
(
14
)
lizard squad
(
14
)
técnicas hacking
(
13
)
auditoría
(
12
)
delitos
(
11
)
metasploit
(
11
)
Virtualización
(
10
)
adamo
(
9
)
reversing
(
9
)
Rootkit
(
8
)
Ehn-Dev
(
7
)
MAC Adress
(
6
)
antimalware
(
6
)
oclHashcat
(
5
)
Entradas populares
-
Después de ver qué es una vCPU y la diferencia entre núcleos (cores) e hilos en los procesadores, pasamos a explicar toda la nomenclatura d...
-
En la Operación Torpedo el FBI utilizó Metasploit Framework , un software totalmente libre construido originalmente sobre lenguaje Perl y p...
-
Recientemente, 2K Games ha sufrido un ataque dentro de su plataforma de soporte técnico. Dicha plataforma, fue hackeada y utilizada para...
Componente de Office permite ejecutar código malicioso sin usar macros
jueves, 9 de julio de 2015
|
Publicado por
el-brujo
|
Editar entrada
El investigador Kevin Beaumont advierte a los usuarios de Microsoft Office de una
característica que permite a los atacantes ejecutar código malicioso a
través de documentos, incluso si la ejecución de macros están deshabilitadas
Cada versión de Windows de Microsoft Office contiene una característica que permite incrustar contenido en los documentos. Estos incluyen el contenido ejecutable, como archivos .exe y JavaScript, así lo ha indicado el investigador Kevin Beaumont en la lista de correo Full Disclosure.
OLE Packager, que es como se llama la función, está disponible desde principios de 1990 en el software de Microsoft. Esta característica permite la incrustación de contenido, y se introdujo en Windows 3.1 y fue soportada hasta Windows XP. Todas las versiones de Office admiten la función todavía, incluso ncluding Office 2013 x64 en Windows 10 x64bits- Para evitar cualquier abuso de la función realizada Microsoft utiliza una lista de tipos de archivo de riesgo no actualizada.
Una vez un tipo de archivo considerado de riesgo en el documento se agrega a la vista de lista y muestra una advertencia al usuario. Esta advertencia se puede ignorar, pero los usuarios pueden al menos ver que el documento contiene contenido potencialmente peligroso. Según Beaumont la lista estática no es, sin embargo, actualizada.Por ejemplo, PowerShell y otros archivos ejecutables no son reconocidos y, por lo tanto, los usuarios obtienen ninguna advertencia. Así que es posible llevar a cabo a través de la apertura de de un documento de office ejecutar el código malicioso de archivos en el equipo. No se detectan con las macros apagadas, o incluso haciendo uso de las plantillas de alta seguridad.
SalesOrder.rtf / docx - bloquea su estación de Trabajo de Windows
OrderRemittance.xlsx - Invierte SUS botones izquierdo y derecho del ratón, y persiste en el Reinicio
Estos documentos están limpios para todos los proveedores de antivirus, comprobado.
También se ha probado estos documentos en Malwarebytes Anti-Exploit y tampoco pudo ser detectado.
Además, tampoco es detectado por Cuckoo Sandbbox o Palo-Alto Wildfire con su sandbox
Se informó a Microsoft en marzo de este año sobre el problema y se le dijo que los atacantes estaban experimentando con la característica. Sin embargo, Microsoft le habría pedido no publicar la información sobre el tema. Finalmente le dijeron al investigador que el problema aún no se resuelve, ya que esta es una característica de Office.
Para los usuarios de Windows, pueden instalar Microsoft EMET, una herramienta gratuita para Windows que añade una seguridad suplementaria, para que asuma el control para Excel, Word y PowerPoint y que impide que la función puede ser implementada. Hay que añadir una regla ASR que deniege "packager.dll".Sin embargo, esto también impide el uso legítimo de la función
Fuente:
http://seclists.org/bugtraq/2015/Jul/23
Cada versión de Windows de Microsoft Office contiene una característica que permite incrustar contenido en los documentos. Estos incluyen el contenido ejecutable, como archivos .exe y JavaScript, así lo ha indicado el investigador Kevin Beaumont en la lista de correo Full Disclosure.
OLE Packager
OLE Packager, que es como se llama la función, está disponible desde principios de 1990 en el software de Microsoft. Esta característica permite la incrustación de contenido, y se introdujo en Windows 3.1 y fue soportada hasta Windows XP. Todas las versiones de Office admiten la función todavía, incluso ncluding Office 2013 x64 en Windows 10 x64bits- Para evitar cualquier abuso de la función realizada Microsoft utiliza una lista de tipos de archivo de riesgo no actualizada.
- Office 2010 -> Insert -> Object.
Una vez un tipo de archivo considerado de riesgo en el documento se agrega a la vista de lista y muestra una advertencia al usuario. Esta advertencia se puede ignorar, pero los usuarios pueden al menos ver que el documento contiene contenido potencialmente peligroso. Según Beaumont la lista estática no es, sin embargo, actualizada.Por ejemplo, PowerShell y otros archivos ejecutables no son reconocidos y, por lo tanto, los usuarios obtienen ninguna advertencia. Así que es posible llevar a cabo a través de la apertura de de un documento de office ejecutar el código malicioso de archivos en el equipo. No se detectan con las macros apagadas, o incluso haciendo uso de las plantillas de alta seguridad.
Prueba de Concepto - PoC
Varios Documentos de prueba de Concepto aquí:SalesOrder.rtf / docx - bloquea su estación de Trabajo de Windows
OrderRemittance.xlsx - Invierte SUS botones izquierdo y derecho del ratón, y persiste en el Reinicio
Estos documentos están limpios para todos los proveedores de antivirus, comprobado.
También se ha probado estos documentos en Malwarebytes Anti-Exploit y tampoco pudo ser detectado.
Además, tampoco es detectado por Cuckoo Sandbbox o Palo-Alto Wildfire con su sandbox
Solución
Se informó a Microsoft en marzo de este año sobre el problema y se le dijo que los atacantes estaban experimentando con la característica. Sin embargo, Microsoft le habría pedido no publicar la información sobre el tema. Finalmente le dijeron al investigador que el problema aún no se resuelve, ya que esta es una característica de Office.
Para los usuarios de Windows, pueden instalar Microsoft EMET, una herramienta gratuita para Windows que añade una seguridad suplementaria, para que asuma el control para Excel, Word y PowerPoint y que impide que la función puede ser implementada. Hay que añadir una regla ASR que deniege "packager.dll".Sin embargo, esto también impide el uso legítimo de la función
Fuente:
http://seclists.org/bugtraq/2015/Jul/23
Enviar por correo electrónico
Escribe un blog
Compartir en X
Compartir con Facebook
Compartir en Pinterest
0 comentarios :
Publicar un comentario
Los comentarios pueden ser revisados en cualquier momento por los moderadores.
Serán publicados aquellos que cumplan las siguientes condiciones:
- Comentario acorde al contenido del post.
- Prohibido mensajes de tipo SPAM.
- Evite incluir links innecesarios en su comentario.
- Contenidos ofensivos, amenazas e insultos no serán permitidos.
Debe saber que los comentarios de los lectores no reflejan necesariamente la opinión del STAFF.