Tutoriales y Manuales
Entradas Mensuales
-
►
2024
(Total:
1090
)
- ► septiembre (Total: 50 )
-
►
2023
(Total:
710
)
- ► septiembre (Total: 65 )
-
►
2022
(Total:
967
)
- ► septiembre (Total: 72 )
-
►
2021
(Total:
730
)
- ► septiembre (Total: 56 )
-
►
2020
(Total:
212
)
- ► septiembre (Total: 21 )
-
►
2019
(Total:
102
)
- ► septiembre (Total: 14 )
-
▼
2017
(Total:
231
)
-
▼
noviembre
(Total:
21
)
- macOS High Sierra permite iniciar sesión root sin ...
- Grave vulnerabilidad RCE en servidor de correo Exim
- Imgur también fue hackeada en 2014 con 1,7 millone...
- Estados Unidos pondrá fin a la neutralidad de la r...
- El atacante de HBO es de Irán y por eso el FBI no ...
- Refrigeración líquida extrema: meter el ordenador ...
- Herramienta para detectar el backdoor en Intel Man...
- Disponible Kali Linux 2017.3: distribución orienta...
- Google admite que Android sabe dónde estás, aunque...
- Uber sufrió un hackeo con robo de 57 millones de c...
- Vulnerabilidad en Android permite grabar la pantal...
- Vectores de ataque más comunes documentos de Office
- 9.9.9.9, nuevos DNS públicos especializados en blo...
- Un fallo de seguridad en el sistema de Amazon Key ...
- El retorno de la No cON Name los días 24-25 de nov...
- Desactivada la firma digital de los DNI por fallo ...
- Intel se alía con AMD para crear gráficos Radeon y...
- Un empleado de Microsoft instala Google Chrome en ...
- No soy un robot: la inteligencia artificial que en...
- España revalida título de campeona del European Cy...
- Empleado de Twitter borra la cuenta de Donald Trum...
- ► septiembre (Total: 16 )
-
▼
noviembre
(Total:
21
)
-
►
2016
(Total:
266
)
- ► septiembre (Total: 38 )
-
►
2015
(Total:
445
)
- ► septiembre (Total: 47 )
-
►
2014
(Total:
185
)
- ► septiembre (Total: 18 )
-
►
2013
(Total:
100
)
- ► septiembre (Total: 3 )
-
►
2011
(Total:
7
)
- ► septiembre (Total: 1 )
Blogroll
Etiquetas
seguridad
(
396
)
privacidad
(
364
)
google
(
355
)
ransomware
(
341
)
vulnerabilidad
(
305
)
Malware
(
265
)
Windows
(
246
)
android
(
244
)
cve
(
237
)
tutorial
(
237
)
manual
(
222
)
software
(
206
)
hardware
(
196
)
linux
(
127
)
twitter
(
117
)
ddos
(
95
)
WhatsApp
(
92
)
Wifi
(
85
)
cifrado
(
77
)
herramientas
(
75
)
hacking
(
73
)
sysadmin
(
68
)
app
(
65
)
Networking
(
57
)
nvidia
(
53
)
ssd
(
51
)
youtube
(
50
)
firmware
(
44
)
adobe
(
43
)
office
(
41
)
hack
(
40
)
firefox
(
36
)
contraseñas
(
32
)
eventos
(
32
)
antivirus
(
31
)
juegos
(
31
)
cms
(
30
)
flash
(
28
)
anonymous
(
27
)
apache
(
26
)
MAC
(
25
)
programación
(
25
)
exploit
(
23
)
multimedia
(
23
)
javascript
(
22
)
Kernel
(
20
)
ssl
(
19
)
SeguridadWireless
(
17
)
documental
(
16
)
Forense
(
15
)
conferencia
(
15
)
Debugger
(
14
)
lizard squad
(
14
)
técnicas hacking
(
13
)
auditoría
(
12
)
delitos
(
11
)
metasploit
(
11
)
Virtualización
(
10
)
adamo
(
9
)
reversing
(
9
)
Rootkit
(
8
)
Ehn-Dev
(
7
)
MAC Adress
(
6
)
antimalware
(
6
)
oclHashcat
(
5
)
Entradas populares
-
Después de ver qué es una vCPU y la diferencia entre núcleos (cores) e hilos en los procesadores, pasamos a explicar toda la nomenclatura d...
-
iperf3 es la última versión del popular programa iperf para medir el ancho de banda entre dos o más equipos en red local o Internet . Es...
-
A finales del mes de agosto hablábamos de que los legisladores estadounidense habían solicitado la investigación de TP-Link . Y así, ya ten...
Vectores de ataque más comunes documentos de Office
domingo, 19 de noviembre de 2017
|
Publicado por
el-brujo
|
Editar entrada
Los documentos del paquete Microsoft Office han adquirido un papel más
que importante en la era digital. Los atacantes advirtieron lo
necesarios que son en nuestro trabajo y en nuestra vida cotidiana, por
lo que a través de los años han encontrado diferentes formas de generar ataques por medio de ellos.
La vulnerabilidad es una corrupción de memoria en la característica Dynamic Data Exchange (DDE), y lleva presente en Microsoft Office desde hace 17 años. Puede ser ejecutada sobre todas las versiones de la suite publicadas desde entonces, incluso Office 365, y funciona sobre cualquier versión de Windows, incluyendo el más reciente Windows 10 Creators Update. Esta vulnerabilidad no está relacionada con Macro-less.
Descubierta por la empresa investigadora en seguridad Embedi, la vulnerabilidad abre la puerta a la ejecución de código en remoto, permitiendo a un atacante no autenticado ejecutar código malicioso sobre el sistema objetivo sin requerir de interacción con el usuario, solo necesitando que se abra un documento de Office malicioso específicamente diseñado que la explote. Identificada como con el código CVE-2017-11882, reside en el ejecutable EQNEDT32.EXE, un componente de Microsoft Office responsable de la inserción y la edición de ecuaciones en forma de objetos OLE dentro de los documentos.
El componente falla a la hora de manejar objetos de forma correcta en la memoria, obteniendo como resultado una corrupción que puede ser aprovechada por un atacante para ejecutar código malicioso en el contexto del usuario. Introducido en Microsoft Office 2000, el gigante de Redmond ha mantenido el ejecutable EQNEDT32.EXE con el fin de ofrecer una buena compatibilidad con documentos antiguos, algo que cobró aún más importancia tras la llegada de Microsoft Office 2007 y el nuevo formato OOXML (DOCX, XLSX… ).
Microsoft parcheó esta vulnerabilidad el martes, tras liberar su paquete mensual de actualizaciones de seguridad, así que sería conveniente su aplicación cuanto antes para eliminarla.
Por otro lado, se puede reforzar la seguridad mediante la habilitación del sandbox de Microsoft Office, Vista Protegida, y la ejecución de los siguientes comandos que inhabilitan el registro del componente en el Registro de Windows:
Fuentes:
http://blog.segu-info.com.ar/2017/11/vulnerabilidad-rce-en-office-parchea.html
https://www.welivesecurity.com/la-es/2017/11/17/vectores-ataque-documentos-de-office/
Vector de ataque 1: Documentos con macros
El primer vector son documentos, por lo general de Word, que contienen código Visual Basic for Application (VBA) conocido como macros. La propiedad de leer ese código viene desactivada por defecto, lo que quiere decir que, para que un usuario se infecte, hace falta su aprobación.
En algunos casos es posible extraer el código
malicioso del archivo, pero en otros no, ya que suelen estar protegidos
por una contraseña creada por el atacante.
A continuación tenemos un ejemplo, en donde se
presenta un mensaje en color amarillo consultando al usuario si quiere
habilitar el contenido. En caso de que proceda, se ejecutará el código
malicioso y lanzará otros procesos (cmd.exe y powershell.exe) para realizar cambios en el equipo de la víctima.
Vector de ataque 2: Documentos con OLE
El segundo vector involucra a documentos maliciosos con Object Linking and Embedding (OLE). Este método permite incrustar y vincular archivos, como, por ejemplo, scripts o ejecutables.
Al igual que con las macros, la víctima no se infectará con solo abrir el archivo, sino que se deberá hacer doble clic sobre el objeto, que se encuentra dentro del documento, para que se efectúe la infección.
Los cibercriminales usan esta técnica
aprovechando que Microsoft Office da la posibilidad de cambiar
visualmente el icono o imagen del contenido malicioso por alguna otra
que pueda generar más confianza, para así lograr que la víctima abra el
contenido.
En la siguiente captura se puede apreciar el
contenido del documento, que es ni más ni menos que un Visual Basic
Script ofuscado que tiene como fin descargar otra amenaza:
Vector de ataque 3: Documentos que explotan vulnerabilidades
El último vector que describiremos, aunque no
por eso es el menos importante, tiene que ver con aquellos documentos
maliciosos que explotan algún tipo de vulnerabilidad en las aplicaciones
de Microsoft Office (Word, Excel, Power Point, etc.).
A diferencia de los métodos anteriormente
descriptos, aquí el código malicioso se ejecutará inmediatamente al
momento de abrir el documento, sin ningún tipo de aprobación previa, mensaje o advertencia.
Si prestamos atención en la próxima captura,
vemos que no hay macros ni tampoco archivos incrustados en el documento.
Pero si realizamos un análisis más profundo, notamos que existe código
Visual Basic Script oculto en el documento, que será ejecutado al
momento de explotar alguna vulnerabilidad en caso que los parches de seguridad no se hayan instalado.
Vulnerabilidad RCE en Microsoft Office
Se le ha encontrado una vulnerabilidad crítica en Microsoft Office cuyo origen es un componente que permite a los atacantes ejecutar código remoto (RCE) sin necesidad de que el usuario dé su consentimiento.La vulnerabilidad es una corrupción de memoria en la característica Dynamic Data Exchange (DDE), y lleva presente en Microsoft Office desde hace 17 años. Puede ser ejecutada sobre todas las versiones de la suite publicadas desde entonces, incluso Office 365, y funciona sobre cualquier versión de Windows, incluyendo el más reciente Windows 10 Creators Update. Esta vulnerabilidad no está relacionada con Macro-less.
Descubierta por la empresa investigadora en seguridad Embedi, la vulnerabilidad abre la puerta a la ejecución de código en remoto, permitiendo a un atacante no autenticado ejecutar código malicioso sobre el sistema objetivo sin requerir de interacción con el usuario, solo necesitando que se abra un documento de Office malicioso específicamente diseñado que la explote. Identificada como con el código CVE-2017-11882, reside en el ejecutable EQNEDT32.EXE, un componente de Microsoft Office responsable de la inserción y la edición de ecuaciones en forma de objetos OLE dentro de los documentos.
El componente falla a la hora de manejar objetos de forma correcta en la memoria, obteniendo como resultado una corrupción que puede ser aprovechada por un atacante para ejecutar código malicioso en el contexto del usuario. Introducido en Microsoft Office 2000, el gigante de Redmond ha mantenido el ejecutable EQNEDT32.EXE con el fin de ofrecer una buena compatibilidad con documentos antiguos, algo que cobró aún más importancia tras la llegada de Microsoft Office 2007 y el nuevo formato OOXML (DOCX, XLSX… ).
Microsoft parcheó esta vulnerabilidad el martes, tras liberar su paquete mensual de actualizaciones de seguridad, así que sería conveniente su aplicación cuanto antes para eliminarla.
Por otro lado, se puede reforzar la seguridad mediante la habilitación del sandbox de Microsoft Office, Vista Protegida, y la ejecución de los siguientes comandos que inhabilitan el registro del componente en el Registro de Windows:
reg add "HKLM\SOFTWARE\Microsoft\Office\Common\COM Compatibility\{0002CE02-0000-0000-C000-000000000046}" /v "Compatibility Flags" /t REG_DWORD /d 0x400En caso de usar Office de 32 bits sobre un Windows de 64 bits, el comando sería el siguiente:
reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Office\Common\COM Compatibility\{0002CE02-0000-0000-C000-000000000046}" /v "Compatibility Flags" /t REG_DWORD /d 0x400
Fuentes:
http://blog.segu-info.com.ar/2017/11/vulnerabilidad-rce-en-office-parchea.html
https://www.welivesecurity.com/la-es/2017/11/17/vectores-ataque-documentos-de-office/
Enviar por correo electrónico
Escribe un blog
Compartir en X
Compartir con Facebook
Compartir en Pinterest
0 comentarios :
Publicar un comentario
Los comentarios pueden ser revisados en cualquier momento por los moderadores.
Serán publicados aquellos que cumplan las siguientes condiciones:
- Comentario acorde al contenido del post.
- Prohibido mensajes de tipo SPAM.
- Evite incluir links innecesarios en su comentario.
- Contenidos ofensivos, amenazas e insultos no serán permitidos.
Debe saber que los comentarios de los lectores no reflejan necesariamente la opinión del STAFF.