Detectan nuevas vulnerabilidades de Microsoft Office

Algunas charlas de la conferencia SAS 2019 estaban dedicadas no a los sofisticados ataques de APT, sino a la labor cotidiana de nuestros investigadores de malware. Los expertos Boris Larin, Vlad Stolyarov y Alexander Liskin de Kaspersky Lab prepararon una investigación titulada “Catching multilayered zero-day attacks on MS Office” (“La detección de ataques multicapa de día cero en MS Office”).

El punto central de su investigación versó sobre los instrumentos que les ayudan en el análisis del malware, pero también señalaron el panorama de amenazas actual de Microsoft Office.

Los cambios en el panorama de amenazas durante dos años son dignos de atención. Nuestros expertos compararon el número de los usuarios atacados desde finales del año pasado, frente a los de hace tan solo dos años y los distribuyeron por plataformas.

Y hallaron que los cibercriminales cambiaron su preferencia por las vulnerabilidades basadas en la web en favor de aquellas de MS Office. Sin embargo, lo que les sorprendió fue la magnitud del cambio: hace algunos meses, MS Office se convirtió en la plataforma más atacada, con más del 70% de las agresiones.

A inicios del año pasado, comenzaron a emerger los exploits de día cero para MS Office. Generalmente éstos empiezan con una campaña dirigida, pero a la larga se publican y terminan integrados en un generador de documentos maliciosos; no obstante, el tiempo de repuesta se ha acortado considerablemente.

Por ejemplo, en el caso de CVE-2017-11882, la primera vulnerabilidad del editor de ecuaciones que nuestro experto observó, se lanzó una enorme campaña de spam el mismo día en que se publicó la prueba de concepto. Lo mismo es cierto para las otras vulnerabilidades: una vez que se publica un informe de vulnerabilidades, es cuestión de días para que aparezca su exploit en el mercado negro.

Los bugs mismos se han vuelto mucho menos complejos, y a veces, todo lo que necesita el cibercriminal es un contenido detallado a fin de crear un exploit funcional.

Una revisión de las vulnerabilidades más explotadas en 2018 confirma esto: que los autores del malware prefieren simples bugs lógicos. Por esta razón, las vulnerabilidades del editor de ecuaciones CVE-2017-11882 y CVE-2018-0802 son ahora los bugs más explotados en MS Office.

En términos simples, son confiables y funcionan en todas las versiones de Word lanzadas durante los últimos 17 años; y, lo que es más importante, crear un exploit para cada una no exige habilidades avanzadas. Ello se debe a que el editor de ecuaciones binario no contaba con las protecciones y medidas de mitigación modernas que esperarías de una aplicación en 2018.

Como nota al margen, cabe señalar que ninguna de las vulnerabilidades se encuentra dentro de MS Office, sino que existen en los componentes relacionados.

Pues bien, la superficie de ataque de MS Office es vasta, con muchos formatos de archivo complicados que deben considerarse, así como su integración con Windows, lo mismo que su interoperatividad. Y, lo más importante en términos de seguridad, es que muchas decisiones que Microsoft tomó al crear Office sencillamente no resultan prudentes ahora, pero modificarlas causaría estragos en la retrocompatibilidad.