Las charlas de la conferencia SAS 2019 no solo han tratado sobre los sofisticados ataques de APT, sino también de la labor cotidiana de nuestros investigadores de malware. Nuestros expertos Boris Larin, Vlad Stolyarov y Alexander Liskin prepararon una investigación sobre la detección de ataques multicapa de día cero en MS Office (“Catching multilayered zero-day attacks on MS Office“). El punto central de su investigación eran los instrumentos que les ayudan en el análisis del malware, pero también centraron la atención en el panorama de amenazas actual de Microsoft Office.
Los cambios que ha sufrido el panorama de amenazas en tan solo dos años son dignos de mención. Nuestros expertos compararon el número de usuarios atacados a finales del año pasado con la cifra de hace tan solo dos años y los clasificaron por plataformas. La conclusión fue que los cibercriminales cambiaron su preferencia de las vulnerabilidades basadas en web en favor de las de MS Office. Pero incluso a ellos les sorprendió la magnitud del cambio: en los últimos meses, MS Office se ha convertido en la plataforma más atacada, sufriendo más del 70% de las agresiones.
A principios del año pasado, comenzaron a emerger exploits de día cero en MS Office. Generalmente, comienzan con una campaña dirigida, pero a la larga se publican y terminan integrados en un generador de documentos maliciosos; no obstante, el tiempo de repuesta se ha acortado considerablemente. Por ejemplo, en el caso de CVE-2017-11882, la primera vulnerabilidad del editor de ecuaciones que nuestro experto observó, se lanzó una enorme campaña de spam el mismo día en que se publicó la prueba de concepto. Lo mismo sucede con otras vulnerabilidades: una vez publicado un informe de vulnerabilidades, es cuestión de días que aparezca un exploit en el mercado negro. Los mismos bugs se han vuelto mucho menos complejos y, a veces, todo lo que necesita el cibercriminal para generar un exploit funcional es una reseña detallada.
Tras echar un vistazo a las vulnerabilidades más explotadas en el 2018, podemos confirmar que los autores de malware prefieren bugs simples, pero lógicos. Por ello, las vulnerabilidades CVE-2017-11882 y CVE-2018-0802 del editor de ecuaciones son ahora los bugs más explotados en MS Office. En resumen, son de confianza y funcionan en todas las versiones de Word lanzadas en los últimos 17 años y, lo más importante, no requieren habilidades avanzadas para crear un exploit para cada una, pues el editor de ecuaciones binario no contaba con ninguna de las protecciones y medidas actuales que esperarías de una aplicación en pleno 2018.
Como dato interesante, cabe destacar que ninguna de las vulnerabilidades más explotadas se encuentra en el mismo MS Office, sino en sus componentes.
Pero ¿por qué siguen ocurriendo este tipo de cosas?
Pues bien, la superficie de ataque de MS Office es enorme, con muchos formatos de archivo complicados que se deben tener en cuenta, así como su integración con Windows y su interoperatividad. Y, lo más importante en términos de seguridad, muchas de las decisiones que tomó Microsoft durante la creación de Office no son apropiadas actualmente, pero modificarlas perjudicaría la compatibilidad con versiones anteriores.
Tan solo en el 2018, encontramos múltiples vulnerabilidades de día cero explotadas. Entre ellas, se encuentra CVE-2018-8174 (la vulnerabilidad de ejecución remota de código del motor VBScript de Windows). Esta vulnerabilidad resulta de especial interés, puesto que su exploit se encontró en un documento Word, pero la vulnerabilidad se encuentra realmente en Internet Explorer. Para más información, consulta esta publicación en Securelist.
Cómo encontramos las vulnerabilidades
Los productos de seguridad para endpoints de Kaspersky cuentan con capacidades heurísticas muy avanzadas para detectar las amenazas distribuidas a través de los documentos de MS Office. Se trata de una de las primeras capas de detección. El motor heurístico conoce todos los formatos de archivo y de ofuscación de documentos y actúa como la primera línea de defensa. Pero, cuando nos encontramos con un objeto malicioso, no nos limitamos simplemente a determinar si es peligroso. Además, hacemos que el objeto pase distintas capas de seguridad. Por ejemplo, una tecnología que ha resultado particularmente exitosa es el aislamiento de procesos o sandbox.
En lo referente a la seguridad de la información, el aislamiento de procesos se emplea para separar los entornos inseguros de los seguros, o viceversa, con el fin de protegerlos de la explotación de vulnerabilidades y para analizar su código malicioso. Nuestro sandbox es un sistema para detectar malware que ejecuta un objeto sospechoso en una máquina virtual con un sistema operativo completamente funcional y detecta la actividad maliciosa del objeto mediante un análisis de su comportamiento. Se desarrolló hace algunos años para usarlo en nuestra infraestructura y, posteriormente, pasó a formar parte de Kaspersky Anti-Targeted Attack Platform.
Microsoft Office ha sido y seguirá siendo el objetivo preferido de los atacantes. Los cibercriminales van tras los objetivos más fáciles, por lo que las funciones obsoletas seguirán utilizándose de forma indebida. Así que, para proteger tu empresa, te aconsejamos que emplees soluciones cuya efectividad se haya comprobado con una larga lista de CVE detectadas.