{"id":29059,"date":"2023-08-10T15:34:32","date_gmt":"2023-08-10T13:34:32","guid":{"rendered":"https:\/\/www.kaspersky.es\/blog\/?p=29059"},"modified":"2023-08-10T16:01:28","modified_gmt":"2023-08-10T14:01:28","slug":"cve-2017-11882-exploitation-on-the-rise","status":"publish","type":"post","link":"https:\/\/www.kaspersky.es\/blog\/cve-2017-11882-exploitation-on-the-rise\/29059\/","title":{"rendered":"La CVE-2017-11882: 5 a\u00f1os de explotaci\u00f3n"},"content":{"rendered":"

Siempre estamos haciendo hincapi\u00e9 en la importancia de instalar los parches para las vulnerabilidades en el software que se explota con mayor frecuencia en los ciberataques: sistemas operativos, navegadores y aplicaciones de oficina. He aqu\u00ed una buena ilustraci\u00f3n de esta tesis: seg\u00fan nuestras estad\u00edsticas de vulnerabilidades<\/a>, las m\u00e1s com\u00fanmente explotadas en los ataques a nuestros clientes, la CVE-2017-11882<\/a> en Microsoft Office sigue siendo bastante popular entre los ciberdelincuentes. \u00a1Y eso a pesar de que la actualizaci\u00f3n que corrige esta vulnerabilidad se lanz\u00f3 en noviembre del 2017<\/strong>! Esta popularidad inalterable de la CVE-2017-11882 solo puede significar que alguien lleva m\u00e1s de cinco a\u00f1os sin instalar los parches de Microsoft.<\/p>\n

\u00bfQu\u00e9 es la vulnerabilidad CVE-2017-11882?<\/h2>\n

La CVE-2017-11882 es una vulnerabilidad RCE en el editor de ecuaciones de Microsoft Office y est\u00e1 asociada con un fallo en el manejo de objetos en la RAM. Para explotar la vulnerabilidad, un atacante debe crear un archivo malicioso y convencer de alguna forma a la v\u00edctima para que lo abra. La mayor\u00eda de las veces, este archivo se env\u00eda por correo electr\u00f3nico o se aloja en un sitio comprometido.<\/p>\n

La explotaci\u00f3n de la vulnerabilidad CVE-2017-11882 permite a un atacante ejecutar c\u00f3digo arbitrario con los privilegios del usuario que abri\u00f3 el archivo malicioso. Por tanto, si la v\u00edctima tiene derechos de administrador, el atacante podr\u00e1 tomar el control total de su sistema: instalar programas; ver, modificar o destruir datos; e incluso crear nuevas cuentas.<\/p>\n

A finales del 2017, cuando se public\u00f3 por primera vez la informaci\u00f3n sobre la vulnerabilidad, no hubo intentos de explotaci\u00f3n. Pero en menos de una semana, apareci\u00f3 una prueba de concepto (PoC por sus siglas en ingl\u00e9s) en Internet y los ataques con la CVE-2017-11882<\/a> comenzaron a aparecer los d\u00edas siguientes.<\/p>\n

En el 2018, se convirti\u00f3 en una de las vulnerabilidades m\u00e1s explotadas de Microsoft Office. En el 2020, durante la pandemia de la Covid-19, la CVE-2017-11882 se utiliz\u00f3 en activo para env\u00edos maliciosos<\/a> que explotaban el tema de las entregas interrumpidas debido a las restricciones m\u00e9dicas. \u00a1Y ahora, en 2023, parece que esta vulnerabilidad sigue al servicio de los malhechores!<\/p>\n

C\u00f3mo mantenerte protegido<\/h2>\n

Por supuesto, la CVE-2017-11882 no es la \u00fanica vulnerabilidad que se ha utilizado en los ataques durante muchos a\u00f1os. Y ni siquiera la m\u00e1s peligrosa de ellas. Sin embargo, es sorprendente que, a pesar de su relativa popularidad (se escribi\u00f3 mucho al respecto en el 2017), as\u00ed como de la disponibilidad de actualizaciones y versiones m\u00e1s recientes de MS Office, hay quien todav\u00eda usa versiones vulnerables de este paquete ofim\u00e1tico.<\/p>\n

Entonces, antes que nada, recomendamos a todas las empresas que usan Microsoft Office que se aseguren de que est\u00e1n trabajando con la versi\u00f3n parcheada de la suite. Por lo general, tambi\u00e9n es una buena idea monitorizar las nuevas versiones de los parches de seguridad e instalarlos a tiempo. Los dem\u00e1s consejos son bastante est\u00e1ndar:<\/p>\n