Un nuevo documento infectado obliga a Word a descargar malware – Ver ACTUALIZACION AL FINAL

Es un 0-day, y aún no tiene parche

Si bien Microsoft logró introducir varios mecanismos de protección en el paquete Office, lo cierto es que las infecciones a través de sus componentes principales (con Word y Excel a la cabeza) jamás abandonaron la escena por completo. Los equipos de McAfee y FireEye reportaron este fin de semana una nueva vulnerabilidad 0-day que al parecer alcanza a todas las versiones de Word. Lo único que un atacante necesita para aprovechar este bug es un documento en formato RTF que obliga a Word a descargar una aplicación HTML (.HTA), la cual a su vez instala malware en segundo plano.

El concepto del «Caballo de Troya» es uno de los más antiguos a la hora de infectar un ordenador. El usuario piensa que un archivo cumple determinada función o cuenta con un formato específico, y cuando hace doble clic… encuentra la sorpresa. Lamentablemente, el sentido común tiene límites, porque existe la posibilidad de que el archivo infectado llegue a través de un contacto de confianza, quien no tiene idea sobre su participación involuntaria en la distribución de malware. Esto es muy frecuente entre usuarios que dependen de herramientas como el paquete Office. Una buena parte de las infecciones vía Word y Excel requieren la activación de macros u otro mecanismo, pero el último bicho que se detectó en circulación ha demostrado ser mucho más robusto.


Así se oculta este ataque

McAfee y FireEye reportaron durante el fin de semana una nueva serie de ataques que involucran a un documento en formato RTF. El documento contiene un objeto OLE, y una vez abierto, Word procede a descargar una aplicación HTML (con extensión .hta) de un servidor remoto. A partir de allí, el archivo .hta ejecuta su script malicioso, y en un intento por ocultar sus acciones presenta al usuario un documento falso, como si no hubiera sucedido nada extraño. Lo más llamativo es que este ataque logra atravesar todas las protecciones existentes (aún si el usuario trabaja en Windows 10), funciona en todas las versiones de Word, y no requiere la antes mencionada activación de macros.

El equipo de FireEye se mantuvo en contacto con Microsoft varias semanas, y acordaron no publicar datos sobre el 0-day hasta que el parche esté listo, pero McAfee les ganó de mano, indicando que los primeros ataques fueron registrados a fines de enero. Lo ideal sería no abrir documentos que lleguen a nosotros de fuentes no confiables, pero lo que McAfee y FireEye recomiendan (al menos hasta que se aplique el hotfix) es abrir el contenido usando la función de Vista Protegida.

 

Ver información original al respecto en Fuente:
http://www.neoteo.com/un-nuevo-documento-infectado-obliga-a-word-a-descargar-malware/

 

ACTUALIZACION DE ESTA NOTICIA : Parece que Microsoft va a editar parche hoy mismo, segun:
https://www.genbeta.com/seguridad/un-zero-day-permite-instalar-malware-desde-microsoft-word-aunque-sera-corregido-esta-semana

saludos

ms, 11-4-2017

__________

NOTA: Los interesados en información sobre contrato de soporte Asistencia Tecnica de SATINFO y/o licencia de uso/actualizaciones de sus utilidades, contacten con info@satinfo.es
__________

Este blog no se hace responsable de las opiniones y comentarios de los textos en los que se cita la Fuente, ofreciendo su contenido solo para facilitar el acceso a la información del mismo.

Puedes seguir cualquier respuesta a esta entrada mediante el canal RSS 2.0. Los comentarios y los pings están cerrados.

Los comentarios están cerrados.

 

Uso de cookies

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, pinche el enlace para mayor información.

ACEPTAR
Aviso de cookies