Skip to content

Alerta: Ataques segmentados a raíz de la última vulnerabilidad de Word

Publicado por Sergio Hernando el 22 mayo 2006

La última de Microsoft le está empezando a costar cara a la gente. Lo malo que tiene ser la plataforma mayoritaria en uso es que si eres el proveedor mayoritario de soluciones ofimáticas, los posibles ataques que se puedan orientar van a ir directamente a tus clientes, aprovechando tus vulnerabilidades, y aprovechando la estadística: si eres el fabricante con la mayor proporción de usuarios, eres el que mejores probabilidades de éxito proporciona a los ataques.

Cuando hablamos de algo tan popularizado como la ofimática, entre tus usuarios siempre hay perfiles de toda índole: no sólo domésticos, sino también corporativos, grandes compañías con muchas versiones y licencias de tus productos.

Si las empresas reciben ataques, mal asunto, porque siempre hay perfiles con poca formación en seguridad que son los que hacen el primer agujero en el casco. Luego, por una cuestión de inercia, la brecha se va abriendo sola. Si estas empresas reciben además ataques segmentados, específicamente diseñados para ellas, el panorama es mucho peor.

Esta casuística es la que narran los handlers del ISC en Targeted attack: experience from the trenches. La peligrosa combinación de un ataque del tipo 0day, con la falla total de las medidas de detección y la ausencia total de medidas de parcheo oficiales. Todo ello aderezado con una alta segmentación, ya que en este caso, el correo originante es una pieza de correo preparada para aparentar ser valija interna de la organización, en cuanto a contenidos y aspecto.

El resultado: casi un 100% de infecciones. Si tus medidas antivirus no detectan nada, y encima el correo tiene para tí una apariencia familiar, tiendes a abrirlo. Y se armó el Belén. La organización ha preferido mantenerse en el anonimato, pero uno de sus responsables le ha contado la película a la gente de SANS. Lo que este responsable narra es lo que seguramente ahora estén viviendo muchas más empresas y usuarios, así que sirva de ejemplo.

Los correos maliciosos contenían adjuntos Word. Estos adjuntos, especialmente preparados, contenían sorpresita: al abrirlos, a modo de dropper, se deposita un hermoso troyano que es ejecutado. Una vez ejecutado, el troyano sobreescribe el fichero Word original que provocó la infección, sustituyéndolo por una copia limpia. En ese momento, Word colapsa, y ofrece al usuario la opción de abrirse de nuevo, cargando esta vez la versión limpia del fichero. Y sin levantar sospecha alguna (ni uno sólo de los 25 motores antivirus de Virustotal lo detecta). Entre tanto, el troyano abre línea directa con diversos hosts, via HTTP. En este punto dejamos de saber qué hace o deja de hacer el troyano, pero seguramente, no sea nada bueno. Lo que sí se sabe es que el troyano se garantiza a sí mismo la persistencia, escribiendo una clave en el registro de la máquina, concretamente en HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows

Se está explotando activamente esta vulnerabilidad, aparecida el pasado día 19, con lo que en ausencia de parches, yo me atrevo a recomendar que no abráis documentos Word. En caso de tener que abrirlos, hacedlo sólo en caso de que procedan de fuentes confiables, y verificando antes si nuestro contacto nos ha enviado o no un documento .doc (método de la llamada de teléfono, siempre tan útil). No es mala idea tampoco descargar OpenOffice y abrir esos documentos Word con OO.org.

Tenéis más sobre las medidas de protección recomendadas en este post de ISC. Toda precaución es poca, hablamos de una vulnerabilidad altamente crítica.

Be Sociable, Share!

Categoría/s → Alertas

5 comentarios
  1. 22 mayo 2006

    Ante casos como este lo que me deja terriblemente sorprendido es la escasa conciencia del riesgo que se corre que tiene la gente. Yo envíe la nota a Menéame a las horas de hacerse pública porque nada más leer el report que hacían en el ISC ya intuía que la cosa iba a traer cola (http://meneame.net/story/0day-en-microsoft-word-xp-y-2003) y, para mi sorpresa, tuvo una aceptación bajísima. Y eso que el usuario medio de menéame es de un nivel medio-alto…

  2. 22 mayo 2006

    VirusTotal se basa en el escaneo de ficheros, así que su eficacia está en cuestión.

    PREGUNTA:

    ¿Se ha ejecutado el bicho y visto cómo han respondido los módulos de los antivirus que monitorizan?

    En la comunicación con el exterior ¿ha sido capaz de atravesar cortafuegos software decentillos?

    ¿Utiliza la “dll injection” para hacerse pasar por el IE o se comunica directamente?

    Ayer el NOD32 v2 actualizó la heurística avanzada (400KB). Me llamó mucho la atención, tal vez fue ese motivo, ya que no es habitual una actualización de ese tamaño.

    Yendo a VSANTIVIRUS:
    Exploit.MSWord.Smtag. Detección genérica exploit Word
    http://www.vsantivirus.com/exploit-msword-smtag.htm

    Leo: ” Detección genérica de NOD32 para código malicioso que explota una vulnerabilidad desconocida en Microsoft Word, para la cuál al momento actual, no existe ningún parche o actualización.”

    En otras palabras, DETECTADO POR SU HEURISTICA. ¿Me equivoco?

    Versión 1.1551
    20/05/06 – 21:40 -0300 Win32/Exploit.MSWord.Smtag

    Por tanto fue incluido en su listado el sábado a la noche. Por tanto, el lunes, al actualizarse automáticamente el antivirus al conectarse a internet (se supone debidamente configurado), los usuarios estarían protegidos.

  3. 22 mayo 2006

    Pero… yendo al primer reporte aparecido en VSANTIVIRUS:

    Exploit.MSWord.1Table. Detección de exploit de Word
    http://www.vsantivirus.com/exploit-msword-1table.htm

    Al mismo tiempo, un código de línea de comandos es ejecutado, el cuál libera un .EXE embebido en el documento malicioso. Al momento actual, el ejecutable es un troyano detectado por NOD32 como Win32/Ginwui.

    POR TANTO, según esa información, FUE DETECTADO POR HEURISTICA en el mismo momento que intentó infectar. Es decir, no antes, en el correo, pero sí al abrir el archivo.

    No estaría de más que otros pudiesen contrastar esa información, pero me la creo (si no, no estaría el enlace directo en mi bitácora).

  4. 24 mayo 2006
    jman_pv permalink

    No me sorprende tratándose del Nod32. Otro punto para este poderoso antivirus.

  5. 24 mayo 2006

    Kasperky en una nota del día 19 (viernes) también anunciaba que podían detectar tanto al portador como al backdoor:

    http://www.viruslist.com/en/weblog?weblogid=187033965

Escribir un comentario

Note: XHTML permitido. Tu email nunca será publicado.

Suscribirse a los comentarios via RSS