Tutoriales y Manuales
Entradas Mensuales
-
►
2024
(Total:
1090
)
- ► septiembre (Total: 50 )
-
►
2023
(Total:
710
)
- ► septiembre (Total: 65 )
-
►
2022
(Total:
967
)
- ► septiembre (Total: 72 )
-
►
2021
(Total:
730
)
- ► septiembre (Total: 56 )
-
►
2020
(Total:
212
)
- ► septiembre (Total: 21 )
-
►
2019
(Total:
102
)
- ► septiembre (Total: 14 )
-
▼
2017
(Total:
231
)
- ► septiembre (Total: 16 )
-
▼
abril
(Total:
31
)
- Falsas guias de juegos engañan a 2 millones de usu...
- Tamper Chrome: el TamperData de Firefox para Chrome
- Vulnerabilidad crítica en módulo de Drupal
- Shadow Brokers: Framework Fuzzbunch y los exploits...
- Disponible Kali Linux Edición 2017.1
- FlexiSpy, empresa que vende software espía es hack...
- Récord sentencia delitos informáticos: 27 años de ...
- Botnets justicieras: Hajime y BrickerBot; la antít...
- IDS/IPS Suricata
- Demandan a Bose por espiar la música con sus auric...
- Apps fraudulentas en Google Play
- Múltiples vulnerabilidades Smart-Wifi de routers L...
- jSQL Injection: herramienta automatizada en Java p...
- El ayuntamiento de Rialp también es víctima de un ...
- Protocolo CLDAP permite realizar ataques DDoS con ...
- Desarticulado un grupo de cibercriminales por come...
- Pwnbox: herramientas de hacking en Docker
- Nintendo pagará por encontrar fallos de seguridad ...
- AMD Ryzen aplasta a un Mac Pro en pruebas de rendi...
- Vulnerabilidad crítica en todas las versiones de O...
- Detenido en Barcelona ruso acusado de interferir e...
- Fabricante de puertas de garaje bloquea las de un ...
- Tizen de Samsung es un coladero: 40 vulnerabilidad...
- La tarjeta gráfica más potente: Titan XP con 3.840...
- Hackean el servidor de HazteOir y amenazan con pub...
- Encuesta lenguajes de programación preferidos en S...
- Actualiza tu iPhone e iPad para evitar ser hackead...
- Vulnerabilidad en Samba permite acceder a ficheros...
- Skimmers en cajeros automáticos para robarte dinero
- La memoria RAM DDR5 ofrecerá el doble de velocidad...
- Escaners de vulnerabilidades para WordPress y Joomla
-
►
2016
(Total:
266
)
- ► septiembre (Total: 38 )
-
►
2015
(Total:
445
)
- ► septiembre (Total: 47 )
-
►
2014
(Total:
185
)
- ► septiembre (Total: 18 )
-
►
2013
(Total:
100
)
- ► septiembre (Total: 3 )
-
►
2011
(Total:
7
)
- ► septiembre (Total: 1 )
Blogroll
Etiquetas
seguridad
(
396
)
privacidad
(
364
)
google
(
355
)
ransomware
(
341
)
vulnerabilidad
(
305
)
Malware
(
265
)
Windows
(
246
)
android
(
244
)
cve
(
237
)
tutorial
(
237
)
manual
(
222
)
software
(
206
)
hardware
(
196
)
linux
(
127
)
twitter
(
117
)
ddos
(
95
)
WhatsApp
(
92
)
Wifi
(
85
)
cifrado
(
77
)
herramientas
(
75
)
hacking
(
73
)
sysadmin
(
68
)
app
(
65
)
Networking
(
57
)
nvidia
(
53
)
ssd
(
51
)
youtube
(
50
)
firmware
(
44
)
adobe
(
43
)
office
(
41
)
hack
(
40
)
firefox
(
36
)
contraseñas
(
32
)
eventos
(
32
)
antivirus
(
31
)
juegos
(
31
)
cms
(
30
)
flash
(
28
)
anonymous
(
27
)
apache
(
26
)
MAC
(
25
)
programación
(
25
)
exploit
(
23
)
multimedia
(
23
)
javascript
(
22
)
Kernel
(
20
)
ssl
(
19
)
SeguridadWireless
(
17
)
documental
(
16
)
Forense
(
15
)
conferencia
(
15
)
Debugger
(
14
)
lizard squad
(
14
)
técnicas hacking
(
13
)
auditoría
(
12
)
delitos
(
11
)
metasploit
(
11
)
Virtualización
(
10
)
adamo
(
9
)
reversing
(
9
)
Rootkit
(
8
)
Ehn-Dev
(
7
)
MAC Adress
(
6
)
antimalware
(
6
)
oclHashcat
(
5
)
Entradas populares
-
Después de ver qué es una vCPU y la diferencia entre núcleos (cores) e hilos en los procesadores, pasamos a explicar toda la nomenclatura d...
-
En la Operación Torpedo el FBI utilizó Metasploit Framework , un software totalmente libre construido originalmente sobre lenguaje Perl y p...
-
Recientemente, 2K Games ha sufrido un ataque dentro de su plataforma de soporte técnico. Dicha plataforma, fue hackeada y utilizada para...
Vulnerabilidad crítica en todas las versiones de Office
lunes, 10 de abril de 2017
|
Publicado por
el-brujo
|
Editar entrada
Documentos maliciosos de Microsoft Office RTF que aprovechan una vulnerabilidad no revelada anteriormente. Esta vulnerabilidad permite ejecutar una secuencia de comandos de Visual Basic cuando el usuario abre un documento que contiene una vulnerabilidad incrustada. La explotación de un nuevo Zero-Day en todas las versiones de Microsoft Word, incluido Office 2016, con Windows 10, está instalando malware en sistemas actualizados.
El ataque es notable por varias razones. Afecta a Windows 10, que los expertos en seguridad consideran la más segura de todas. Además, al contrario que casi todos los exploits para Office, no necesita que están activados los macros. El ataque empieza con un email que contiene un .doc malicioso. Al abrirlo, se conecta con un servidor (controlado por el atacante) y se descarga un .hta (fichero de aplicación en HTML, un formato propio de microsoft) disfrazado como un documento en RTF. Por detrás, el .hta descarga y ejecuta malware adicional.
Las muestras que se han detectado están organizadas como archivos Word (más especialmente, archivos RTF con el nombre de la extensión ".doc"). El exploit funciona en todas las versiones de Microsoft Office, incluyendo la última versión de Office 2016 que se ejecuta en Windows 10.
Actualizada 12/4/17:
Parche de urgencia de Microsoft:
CVE-2017-0199 | Microsoft Office/WordPad Remote Code Execution Vulnerability w/Windows API
Recomendamos firmemente que los usuarios de Office tomen las siguientes medidas para proteger o mitigar este ataque de día cero antes de que Microsoft emita un parche oficial.
Los expertos en seguridad informan que Microsoft solucionará la vulnerabilidad el martes. Mientras tanto, los usuarios pueden bloquear el ataque habilitando la Vista Protegida agregando lo siguiente a su registro de Windows:
Valor
Opciones
Valor
Opciones
En Office 2003 sería versión 11
Según FireEye, el ataque comienza con un correo electrónico con un documento malicioso de Word adjunto. Una vez abierto, el código de explotación escondido dentro del documento se conecta a un servidor controlado por el atacante y se descarga un archivo HTML (HTA) malicioso que se hace pasar por un documento de texto enriquecido. Este archivo .hta descarga otros tipos de malware de diferentes familias.
El ataque es notable por varias razones. En primer lugar, elimina la mayoría de las mitigaciones de exploits y esto le permite funcionar en Windows 10. En segundo lugar, a diferencia de la gran mayoría de los exploits de Word, este nuevo ataque no requiere que se habiliten las macros. Por último, el exploit abre un documento señuelo de Word, en un intento de ocultar cualquier signo del ataque.
Estos ataques fueron reportados por primera vez por investigadores de McAfee. El exploit se conecta a un servidor remoto controlado por el atacante, descarga un archivo .hta y lo ejecuta. Debido a que este tipo de archivos son ejecutables, el atacante obtiene la ejecución completa del código en la máquina de la víctima.
Los investigadores de FireEye dijeron que se han estado comunicando con Microsoft sobre la vulnerabilidad durante varias semanas y que habían acordado no divulgarla públicamente hasta que se publicara un parche. FireEye más tarde decidió publicarlo después de que McAfee revelara los detalles de la vulnerabilidad.
Fuentes:
http://blog.segu-info.com.ar/2017/04/zero-day-en-word-permite-infeccion-sin.html
https://securingtomorrow.mcafee.com/mcafee-labs/critical-office-zero-day-attacks-detected-wild/
https://www.fireeye.com/blog/threat-research/2017/04/acknowledgement_ofa.html
https://arstechnica.com/security/2017/04/booby-trapped-word-documents-in-the-wild-exploit-critical-microsoft-0day/
El ataque es notable por varias razones. Afecta a Windows 10, que los expertos en seguridad consideran la más segura de todas. Además, al contrario que casi todos los exploits para Office, no necesita que están activados los macros. El ataque empieza con un email que contiene un .doc malicioso. Al abrirlo, se conecta con un servidor (controlado por el atacante) y se descarga un .hta (fichero de aplicación en HTML, un formato propio de microsoft) disfrazado como un documento en RTF. Por detrás, el .hta descarga y ejecuta malware adicional.
Las muestras que se han detectado están organizadas como archivos Word (más especialmente, archivos RTF con el nombre de la extensión ".doc"). El exploit funciona en todas las versiones de Microsoft Office, incluyendo la última versión de Office 2016 que se ejecuta en Windows 10.
Actualizada 12/4/17:
Parche de urgencia de Microsoft:
CVE-2017-0199 | Microsoft Office/WordPad Remote Code Execution Vulnerability w/Windows API
Vulnerabilidad sin parchear
La causa raíz de la vulnerabilidad de día cero está relacionada con la vinculación y incrustación de objetos de Windows (OLE), una característica importante de Office.Recomendamos firmemente que los usuarios de Office tomen las siguientes medidas para proteger o mitigar este ataque de día cero antes de que Microsoft emita un parche oficial.
- No abra ningún archivo de Office obtenido de ubicaciones no confiables.
- Activar la Vista protegida de Office. "Office Protected View" esté habilitado.
Los expertos en seguridad informan que Microsoft solucionará la vulnerabilidad el martes. Mientras tanto, los usuarios pueden bloquear el ataque habilitando la Vista Protegida agregando lo siguiente a su registro de Windows:
HKEY_CURRENT_USER\Software\Microsoft\Office\15.0\Word\Security\FileBlock\RtfFiles valor a 2
Key:
HKEY_CURRENT_USER\Software\Microsoft\Office\15.0\Word\Security\FileBlock\OpenInProtected a valor 0
HKEY_CURRENT_USER\Software\Microsoft\Office\14.0\Word\Security\FileBlock
Valor
OpenInProtectedView
Opciones
- 0 - do not open selected file types
- 1 - Open selected file types in Protected View (seems to be the default?)
- 2 - Open selected file types in Protected View and allow editing ( little to no protection )
Valor
RtfFiles
Opciones
- Nothing-ValueDNE - no protection for RTF files (default)
- 1 - prevent word from saving RTF files ( no protection )
- 2 - open RTF files using the security setting as defined in the "OpenInProtectedView" value above.
En Office 2003 sería versión 11
Según FireEye, el ataque comienza con un correo electrónico con un documento malicioso de Word adjunto. Una vez abierto, el código de explotación escondido dentro del documento se conecta a un servidor controlado por el atacante y se descarga un archivo HTML (HTA) malicioso que se hace pasar por un documento de texto enriquecido. Este archivo .hta descarga otros tipos de malware de diferentes familias.
Ataque sin usar macros
El ataque es notable por varias razones. En primer lugar, elimina la mayoría de las mitigaciones de exploits y esto le permite funcionar en Windows 10. En segundo lugar, a diferencia de la gran mayoría de los exploits de Word, este nuevo ataque no requiere que se habiliten las macros. Por último, el exploit abre un documento señuelo de Word, en un intento de ocultar cualquier signo del ataque.
Estos ataques fueron reportados por primera vez por investigadores de McAfee. El exploit se conecta a un servidor remoto controlado por el atacante, descarga un archivo .hta y lo ejecuta. Debido a que este tipo de archivos son ejecutables, el atacante obtiene la ejecución completa del código en la máquina de la víctima.
Los investigadores de FireEye dijeron que se han estado comunicando con Microsoft sobre la vulnerabilidad durante varias semanas y que habían acordado no divulgarla públicamente hasta que se publicara un parche. FireEye más tarde decidió publicarlo después de que McAfee revelara los detalles de la vulnerabilidad.
Fuentes:
http://blog.segu-info.com.ar/2017/04/zero-day-en-word-permite-infeccion-sin.html
https://securingtomorrow.mcafee.com/mcafee-labs/critical-office-zero-day-attacks-detected-wild/
https://www.fireeye.com/blog/threat-research/2017/04/acknowledgement_ofa.html
https://arstechnica.com/security/2017/04/booby-trapped-word-documents-in-the-wild-exploit-critical-microsoft-0day/
Enviar por correo electrónico
Escribe un blog
Compartir en X
Compartir con Facebook
Compartir en Pinterest
0 comentarios :
Publicar un comentario
Los comentarios pueden ser revisados en cualquier momento por los moderadores.
Serán publicados aquellos que cumplan las siguientes condiciones:
- Comentario acorde al contenido del post.
- Prohibido mensajes de tipo SPAM.
- Evite incluir links innecesarios en su comentario.
- Contenidos ofensivos, amenazas e insultos no serán permitidos.
Debe saber que los comentarios de los lectores no reflejan necesariamente la opinión del STAFF.