REGRESO AL PASADO: LLEGAN MAILS ANEXANDO FICHEROS CON VULNERABILIDAD CVE-2012 (CORREGIDA DESDE ANTAÑO POR MICROSOFT, PERO …)

Hoy nos ha llegado un mail anexando fichero con exploit CVE-2012 que notificamos en:

NUEVO MAIL MALICIOSO ADJUNTANDO FICHERO DOC QUE ES UN RTF CON EXPLOIT CVE 2012

en el que (supuestamente) desde la India enviaban un mail anexando fichero DOC, que realmente era un RTF, que los AV identifican contener el exploit CVE 2012-0158, sobre el que hemos querido profundizar y hemos visto que realmente se hizo como un exploit para RTF, pero parece que igualmente requiere el Microsoft Office …

“- Módulos Metasploit relacionados con CVE-2012-0158
MS12-027 MSCOMCTL ActiveX Buffer Overflow
Este módulo explota un desbordamiento de búfer de pila en MSCOMCTL.OCX. Utiliza un RTF malicioso para incrustar el control MSComctlLib.ListViewCtrl.2 especialmente diseñado, explotado en la naturaleza en abril de 2012. Este módulo tiene como objetivo los Office 2007 y Office 2010. El bypass de DEP / ASLR en Office 2010 se realiza con la cadena ROP de Ikazuchi propuesta por Abysssec. Esta cadena utiliza “msgr3en.dll”, que se cargará después de que Office se cargue, por lo que el archivo malicioso debe cargarse a través de “Archivo / Abrir” para lograr la explotación.
Tipo de módulo: explotar Rango: promedio Plataformas: Windows”

Sea como fuere, sigue siendo necesario para activar el exploit el Microsoft Office, por lo cual se recalca que solo deben abrirse con el WordPad, y en cualquier caso, SEGUIR NUESTRAS RECOMENDACIONES Y MEJOR NO ABRIRLOS !!!

 

 

RECORDAR:

COMO YA VAMOS INDICANDO REPETIDAMENTE, NO SE DEBEN EJECUTAR NI FICHEROS NI ENLACES NI IMAGENES QUE NO SE HAYAN SOLICITADO, AUNQUE SE CONOZCA EL REMITENTE O VENGAN DE ALGUNA ENTIDAD CONOCIDA, Y MENOS ENVIAR DATOS QUE PUDIERAN SOLICITAR …

Y CUIDADO, QUE AHORA YA NOS LLEGAN CON TODO EL MAIL EN UNA IMAGEN QUE ES UN ENLACE A UNA URL ACORTADA MALICIOSA, ASI QUE DESDE AHORA, SEGUIR LO INDICADO ANTERIORMENTE, AÑADIENDO NO PULSAR EN NINGUNA PARTE DEL MAIL, POR SI ACASO FUERA TODO ÉL UNA IMAGEN CON ENLACE A URL MALICIOSA !!!

y en particular con los XLSX anexados a mails no solicitados, no abrirlos con el Microsoft Office, sino con el WordPad, dado que no son realmente ficheros de Excel sino simples RTF con exploit similar al CV-2012 o CV-2017, que con el WordPad no actúan.

 

 

SALUDOS

ms, 20-11-2018

__________

NOTA: Los interesados en información sobre contrato de soporte Asistencia Tecnica de SATINFO y/o licencia de uso/actualizaciones de sus utilidades, contacten con info@satinfo.es
__________

Este blog no se hace responsable de las opiniones y comentarios de los textos en los que se cita la Fuente, ofreciendo su contenido solo para facilitar el acceso a la información del mismo.

Puedes seguir cualquier respuesta a esta entrada mediante el canal RSS 2.0. Los comentarios y los pings están cerrados.

Los comentarios están cerrados.

 

Uso de cookies

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, pinche el enlace para mayor información.

ACEPTAR
Aviso de cookies