La última de Microsoft le está empezando a costar cara a la gente. Lo malo que tiene ser la plataforma mayoritaria en uso es que si eres el proveedor mayoritario de soluciones ofimáticas, los posibles ataques que se puedan orientar van a ir directamente a tus clientes, aprovechando tus vulnerabilidades, y aprovechando la estadística: si eres el fabricante con la mayor proporción de usuarios, eres el que mejores probabilidades de éxito proporciona a los ataques.

Cuando hablamos de algo tan popularizado como la ofimática, entre tus usuarios siempre hay perfiles de toda índole: no sólo domésticos, sino también corporativos, grandes compañías con muchas versiones y licencias de tus productos.

Si las empresas reciben ataques, mal asunto, porque siempre hay perfiles con poca formación en seguridad que son los que hacen el primer agujero en el casco. Luego, por una cuestión de inercia, la brecha se va abriendo sola. Si estas empresas reciben además ataques segmentados, específicamente diseñados para ellas, el panorama es mucho peor.

Esta casuística es la que narran los handlers del ISC en Targeted attack: experience from the trenches. La peligrosa combinación de un ataque del tipo 0day, con la falla total de las medidas de detección y la ausencia total de medidas de parcheo oficiales. Todo ello aderezado con una alta segmentación, ya que en este caso, el correo originante es una pieza de correo preparada para aparentar ser valija interna de la organización, en cuanto a contenidos y aspecto.

El resultado: casi un 100% de infecciones. Si tus medidas antivirus no detectan nada, y encima el correo tiene para tí una apariencia familiar, tiendes a abrirlo. Y se armó el Belén. La organización ha preferido mantenerse en el anonimato, pero uno de sus responsables le ha contado la película a la gente de SANS. Lo que este responsable narra es lo que seguramente ahora estén viviendo muchas más empresas y usuarios, así que sirva de ejemplo.

Los correos maliciosos contenían adjuntos Word. Estos adjuntos, especialmente preparados, contenían sorpresita: al abrirlos, a modo de dropper, se deposita un hermoso troyano que es ejecutado. Una vez ejecutado, el troyano sobreescribe el fichero Word original que provocó la infección, sustituyéndolo por una copia limpia. En ese momento, Word colapsa, y ofrece al usuario la opción de abrirse de nuevo, cargando esta vez la versión limpia del fichero. Y sin levantar sospecha alguna (ni uno sólo de los 25 motores antivirus de Virustotal lo detecta). Entre tanto, el troyano abre línea directa con diversos hosts, via HTTP. En este punto dejamos de saber qué hace o deja de hacer el troyano, pero seguramente, no sea nada bueno. Lo que sí se sabe es que el troyano se garantiza a sí mismo la persistencia, escribiendo una clave en el registro de la máquina, concretamente en HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows

Se está explotando activamente esta vulnerabilidad, aparecida el pasado día 19, con lo que en ausencia de parches, yo me atrevo a recomendar que no abráis documentos Word. En caso de tener que abrirlos, hacedlo sólo en caso de que procedan de fuentes confiables, y verificando antes si nuestro contacto nos ha enviado o no un documento .doc (método de la llamada de teléfono, siempre tan útil). No es mala idea tampoco descargar OpenOffice y abrir esos documentos Word con OO.org.

Tenéis más sobre las medidas de protección recomendadas en este post de ISC. Toda precaución es poca, hablamos de una vulnerabilidad altamente crítica.

Technorati:

Relacionados:
Word, Word, Word
Alerta: Vulnerabilidad extremadamente crítica en Microsoft Word. Parches octubre 2007 de Microsoft
Comparativa de procesadores de textos