{"id":18244,"date":"2019-04-11T11:55:09","date_gmt":"2019-04-11T09:55:09","guid":{"rendered":"https:\/\/www.kaspersky.es\/blog\/?p=18244"},"modified":"2022-05-05T12:04:04","modified_gmt":"2022-05-05T10:04:04","slug":"ms-office-vulnerabilities-sas-2019","status":"publish","type":"post","link":"https:\/\/www.kaspersky.es\/blog\/ms-office-vulnerabilities-sas-2019\/18244\/","title":{"rendered":"Las vulnerabilidades de Microsoft Office"},"content":{"rendered":"<p>Las charlas de la conferencia SAS 2019 no solo han tratado sobre los sofisticados ataques de APT, sino tambi\u00e9n de la labor cotidiana de nuestros investigadores de <em>malware<\/em>. Nuestros expertos Boris Larin, Vlad Stolyarov y Alexander Liskin prepararon una investigaci\u00f3n sobre la detecci\u00f3n de ataques multicapa de d\u00eda cero en MS Office (\u201c<em>Catching multilayered zero-day attacks on MS Office<\/em>\u201c). El punto central de su investigaci\u00f3n eran los instrumentos que les ayudan en el an\u00e1lisis del <em>malware<\/em>, pero tambi\u00e9n centraron la atenci\u00f3n en el panorama de amenazas actual de Microsoft Office.<\/p>\n<p>Los cambios que ha sufrido el panorama de amenazas en tan solo dos a\u00f1os son dignos de menci\u00f3n. Nuestros expertos compararon el n\u00famero de usuarios atacados a finales del a\u00f1o pasado con la cifra de hace tan solo dos a\u00f1os y los clasificaron por plataformas. La conclusi\u00f3n fue que los cibercriminales cambiaron su preferencia de las vulnerabilidades basadas en web en favor de las de MS Office. Pero incluso a ellos les sorprendi\u00f3 la magnitud del cambio: en los \u00faltimos meses, MS Office se ha convertido en la plataforma m\u00e1s atacada, sufriendo m\u00e1s del 70% de las agresiones.<\/p>\n<p><img loading=\"lazy\" decoding=\"async\" class=\"aligncenter wp-image-18246 size-full\" src=\"https:\/\/media.kasperskydaily.com\/wp-content\/uploads\/sites\/88\/2019\/04\/11102804\/office_platforms_diagram.png\" alt=\"\" width=\"1166\" height=\"650\"><\/p>\n<p>A principios del a\u00f1o pasado, comenzaron a emerger <em>exploits<\/em> de d\u00eda cero en MS Office. Generalmente, comienzan con una campa\u00f1a dirigida, pero a la larga se publican y terminan integrados en un generador de documentos maliciosos; no obstante, el tiempo de repuesta se ha acortado considerablemente. Por ejemplo, en el caso de CVE-2017-11882, la primera vulnerabilidad del editor de ecuaciones que nuestro experto observ\u00f3, se lanz\u00f3 una enorme campa\u00f1a de <em>spam<\/em> el mismo d\u00eda en que se public\u00f3 la prueba de concepto. Lo mismo sucede con otras vulnerabilidades: una vez publicado un informe de vulnerabilidades, es cuesti\u00f3n de d\u00edas que aparezca un <em>exploit<\/em> en el mercado negro. Los mismos <em>bugs<\/em> se han vuelto mucho menos complejos y, a veces, todo lo que necesita el cibercriminal para generar un <em>exploit<\/em> funcional es una rese\u00f1a detallada.<\/p>\n<p>Tras echar un vistazo a las vulnerabilidades m\u00e1s explotadas en el 2018, podemos confirmar que los autores de <em>malware<\/em> prefieren <em>bugs<\/em> simples, pero l\u00f3gicos. Por ello, las vulnerabilidades CVE-2017-11882 y CVE-2018-0802 del editor de ecuaciones son ahora los <em>bugs<\/em> m\u00e1s explotados en MS Office. En resumen, son de confianza y funcionan en todas las versiones de Word lanzadas en los \u00faltimos 17 a\u00f1os y, lo m\u00e1s importante, no requieren habilidades avanzadas para crear un <em>exploit<\/em> para cada una, pues el editor de ecuaciones binario no contaba con ninguna de las protecciones y medidas actuales que esperar\u00edas de una aplicaci\u00f3n en pleno 2018.<\/p>\n<p>Como dato interesante, cabe destacar que ninguna de las vulnerabilidades m\u00e1s explotadas se encuentra en el mismo MS Office, sino en sus componentes.<\/p>\n<p>Pero \u00bfpor qu\u00e9 siguen ocurriendo este tipo de cosas?<\/p>\n<p>Pues bien, la superficie de ataque de MS Office es enorme, con muchos formatos de archivo complicados que se deben tener en cuenta, as\u00ed como su integraci\u00f3n con Windows y su interoperatividad. Y, lo m\u00e1s importante en t\u00e9rminos de seguridad, muchas de las decisiones que tom\u00f3 Microsoft durante la creaci\u00f3n de Office no son apropiadas actualmente, pero modificarlas perjudicar\u00eda la compatibilidad con versiones anteriores.<\/p>\n<p>Tan solo en el 2018, encontramos m\u00faltiples vulnerabilidades de d\u00eda cero explotadas. Entre ellas, se encuentra <a href=\"https:\/\/securelist.com\/delving-deep-into-vbscript-analysis-of-cve-2018-8174-exploitation\/86333\/\" target=\"_blank\" rel=\"noopener\">CVE-2018-8174 (la vulnerabilidad de ejecuci\u00f3n remota de c\u00f3digo del motor VBScript de Windows)<\/a>. Esta vulnerabilidad resulta de especial inter\u00e9s, puesto que su <em>exploit<\/em> se encontr\u00f3 en un documento Word, pero la vulnerabilidad se encuentra realmente en Internet Explorer. Para m\u00e1s informaci\u00f3n, consulta esta <a href=\"https:\/\/securelist.com\/delving-deep-into-vbscript-analysis-of-cve-2018-8174-exploitation\/86333\/\" target=\"_blank\" rel=\"noopener\">publicaci\u00f3n en Securelist<\/a>.<\/p>\n<h3>C\u00f3mo encontramos las vulnerabilidades<\/h3>\n<p>Los <a href=\"https:\/\/www.kaspersky.es\/small-to-medium-business-security?icid=es_kdailyplacehold_acq_ona_smm__onl_b2b_kasperskydaily_wpplaceholder_______\" target=\"_blank\" rel=\"noopener\">productos de seguridad para endpoints<\/a> de Kaspersky cuentan con capacidades heur\u00edsticas muy avanzadas para detectar las amenazas distribuidas a trav\u00e9s de los documentos de MS Office. Se trata de una de las primeras capas de detecci\u00f3n. El motor heur\u00edstico conoce todos los formatos de archivo y de ofuscaci\u00f3n de documentos y act\u00faa como la primera l\u00ednea de defensa. Pero, cuando nos encontramos con un objeto malicioso, no nos limitamos simplemente a determinar si es peligroso. Adem\u00e1s, hacemos que el objeto pase distintas capas de seguridad. Por ejemplo, una tecnolog\u00eda que ha resultado particularmente exitosa es el aislamiento de procesos o <em>sandbox<\/em>.<\/p>\n<p>En lo referente a la seguridad de la informaci\u00f3n, el aislamiento de procesos se emplea para separar los entornos inseguros de los seguros, o viceversa, con el fin de protegerlos de la explotaci\u00f3n de vulnerabilidades y para analizar su c\u00f3digo malicioso. Nuestro\u00a0<em>sandbox<\/em> es un sistema para detectar <em>malware<\/em> que ejecuta un objeto sospechoso en una m\u00e1quina virtual con un sistema operativo completamente funcional y detecta la actividad maliciosa del objeto mediante un an\u00e1lisis de su comportamiento. Se desarroll\u00f3 hace algunos a\u00f1os para usarlo en nuestra infraestructura y, posteriormente, pas\u00f3 a formar parte de <a href=\"https:\/\/www.kaspersky.es\/enterprise-security\/anti-targeted-attack-platform\" target=\"_blank\" rel=\"noopener\">Kaspersky Anti-Targeted Attack Platform<\/a>.<\/p>\n<p>Microsoft Office ha sido y seguir\u00e1 siendo el objetivo preferido de los atacantes. Los cibercriminales van tras los objetivos m\u00e1s f\u00e1ciles, por lo que las funciones obsoletas seguir\u00e1n utiliz\u00e1ndose de forma indebida. As\u00ed que, para proteger tu empresa, te aconsejamos que emplees soluciones cuya efectividad se haya comprobado con una larga lista de CVE detectadas.<\/p>\n<input type=\"hidden\" class=\"category_for_banner\" value=\"kesb\">\n<p>\u00a0<\/p>\n","protected":false},"excerpt":{"rendered":"<p>La conferencia SAS 2019 se centr\u00f3 en el panorama de amenazas de Microsoft Office y en las tecnolog\u00edas que nos ayudan a identificar los exploits de d\u00eda cero.<\/p>\n","protected":false},"author":2706,"featured_media":18245,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[2202,2754,2755],"tags":[2172,674,2881,2186,2843,784],"class_list":{"0":"post-18244","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-business","8":"category-enterprise","9":"category-smb","10":"tag-office","11":"tag-sas","12":"tag-sas-2019","13":"tag-security-analyst-summit","14":"tag-thesas2019","15":"tag-vulnerabilidades"},"hreflang":[{"hreflang":"es","url":"https:\/\/www.kaspersky.es\/blog\/ms-office-vulnerabilities-sas-2019\/18244\/"},{"hreflang":"en-in","url":"https:\/\/www.kaspersky.co.in\/blog\/ms-office-vulnerabilities-sas-2019\/15601\/"},{"hreflang":"en-ae","url":"https:\/\/me-en.kaspersky.com\/blog\/ms-office-vulnerabilities-sas-2019\/13145\/"},{"hreflang":"en-us","url":"https:\/\/usa.kaspersky.com\/blog\/ms-office-vulnerabilities-sas-2019\/17521\/"},{"hreflang":"en-gb","url":"https:\/\/www.kaspersky.co.uk\/blog\/ms-office-vulnerabilities-sas-2019\/15670\/"},{"hreflang":"es-mx","url":"https:\/\/latam.kaspersky.com\/blog\/ms-office-vulnerabilities-sas-2019\/14369\/"},{"hreflang":"it","url":"https:\/\/www.kaspersky.it\/blog\/ms-office-vulnerabilities-sas-2019\/17173\/"},{"hreflang":"ru","url":"https:\/\/www.kaspersky.ru\/blog\/ms-office-vulnerabilities-sas-2019\/22603\/"},{"hreflang":"tr","url":"https:\/\/www.kaspersky.com.tr\/blog\/ms-office-vulnerabilities-sas-2019\/5876\/"},{"hreflang":"x-default","url":"https:\/\/www.kaspersky.com\/blog\/ms-office-vulnerabilities-sas-2019\/26415\/"},{"hreflang":"fr","url":"https:\/\/www.kaspersky.fr\/blog\/ms-office-vulnerabilities-sas-2019-2\/11601\/"},{"hreflang":"pt-br","url":"https:\/\/www.kaspersky.com.br\/blog\/ms-office-vulnerabilities-sas-2019\/11676\/"},{"hreflang":"pl","url":"https:\/\/plblog.kaspersky.com\/ms-office-vulnerabilities-sas-2019\/10600\/"},{"hreflang":"de","url":"https:\/\/www.kaspersky.de\/blog\/ms-office-vulnerabilities-sas-2019\/19022\/"},{"hreflang":"ja","url":"https:\/\/blog.kaspersky.co.jp\/ms-office-vulnerabilities-sas-2019\/23042\/"},{"hreflang":"ru-kz","url":"https:\/\/blog.kaspersky.kz\/ms-office-vulnerabilities-sas-2019\/18258\/"},{"hreflang":"en-au","url":"https:\/\/www.kaspersky.com.au\/blog\/ms-office-vulnerabilities-sas-2019\/22452\/"},{"hreflang":"en-za","url":"https:\/\/www.kaspersky.co.za\/blog\/ms-office-vulnerabilities-sas-2019\/22389\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/www.kaspersky.es\/blog\/tag\/sas\/","name":"SAS"},"_links":{"self":[{"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/posts\/18244","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/users\/2706"}],"replies":[{"embeddable":true,"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/comments?post=18244"}],"version-history":[{"count":8,"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/posts\/18244\/revisions"}],"predecessor-version":[{"id":19822,"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/posts\/18244\/revisions\/19822"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/media\/18245"}],"wp:attachment":[{"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/media?parent=18244"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/categories?post=18244"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/tags?post=18244"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}