La función incorporada de MS Office que permite la ejecución de malware sin la necesidad de habilitar macros

Dado que las nuevas formas de Ciberdelincuencia están en aumento, las técnicas tradicionales parecen estar cambiando hacia un uso más clandestino que implica la explotación de herramientas y protocolos del sistema estándar, que no siempre se controlan.
Los investigadores de seguridad del grupo de investigación de amenazas Talos de Cisco descubrieron una campaña de ataque de ese tipo que difundía documentos de Microsoft Word equipados con malware que ejecutaban código en el dispositivo de destino sin requerir macros habilitados o corrupción de la memoria.
Esta ejecución de código sin macros en la técnica de MSWord, descrita en detalle el lunes por un par de investigadores de seguridad de Sensepost, Etienne Stalmans y Saif El-Sherei, que aprovecha una función incorporada de MS Office, denominada Dynamic Data Exchange (DDE), para realizar la ejecución del código arbitrario.
El protocolo Dynamic Data Exchange (DDE) es uno de los varios métodos que Microsoft permite que dos aplicaciones en ejecución compartan los mismos datos. El protocolo puede ser utilizado por aplicaciones para transferencias de datos de una sola vez y para intercambios continuos en los que las aplicaciones envían actualizaciones entre ellas a medida que se obtienen nuevos datos.

Miles de aplicaciones utilizan el protocolo DDE, incluidos Microsoft Excel, MS Word, Quattro Pro y Visual Basic.
La técnica de explotación que los investigadores describieron no muestra advertencias de “seguridad” a las víctimas, excepto preguntarles si desean ejecutar la aplicación especificada en el comando; sin embargo, esta alerta emergente también podría eliminarse “con una modificación de sintaxis adecuada”, dicen los investigadores. .

Según lo descrito por los investigadores de Cisco, esta técnica fue encontrada activamente explotada en estado salvaje por piratas informáticos para atacar a varias organizaciones que usan correos electrónicos de phishing , que fueron falsificados para hacer que parecieran enviados por la Comisión de Bolsa y Valores (SEC, por sus siglas en inglés), para convencer a los usuarios para que los abran.
“Los correos electrónicos en sí mismos contenían un archivo adjunto malicioso [MS Word] que al abrirlo iniciaría un sofisticado proceso de infección de etapas múltiples que conduce a la infección con el malware DNSMessenger”, indican los investigadores de Talos.
A principios de marzo, los investigadores de Talos encontraron atacantes que distribuían DNSMessenger, un troyano de acceso remoto completamente sin archivos (RAT) que utiliza consultas DNS para llevar a cabo comandos maliciosos de PowerShell en computadoras comprometidas.

Una vez abierto, se les pedirá a las víctimas un mensaje informándoles que el documento contiene enlaces a archivos externos, pidiéndoles que permitan o denieguen que se recupere y muestre el contenido.

Si está permitido, el documento malicioso se comunicará con el contenido alojado del atacante para recuperar el código que se ejecutará para iniciar la infección de malware DNSMessenger.
“Curiosamente, el campo DDEAUTO utilizado por este documento malicioso recuperó el código que el atacante había recibido originalmente en un sitio web del gobierno del estado de Louisiana, que aparentemente estaba comprometido y se usó para este propósito”, afirman los investigadores.

 

Video de la Prueba de Concepto:

Cómo protegerse y detectar los ataques DDE de MS Word
¿Qué es más preocupante? Microsoft no considera esto como un problema de seguridad, sino que, según la compañía, el protocolo DDE es una característica que no se puede eliminar, pero que podría mejorarse con mejores alertas de advertencia para los usuarios en el futuro.
Aunque no existe una forma directa de deshabilitar la ejecución del código DDE, los usuarios pueden supervisar proactivamente los registros de eventos del sistema para verificar la posible explotación.

Además de esto, los investigadores de NVISO Labs también han compartido dos reglas YARA para detectar el vector DDE en archivos Office Open XML.
La mejor manera de protegerse de dichos ataques de malware siempre es desconfiar de cualquier documento no enviado enviado a través de un correo electrónico y nunca hacer clic en los enlaces dentro de esos documentos a menos que se verifique correctamente el origen.

 

Fuente: The Hacker News

Written by Administrador