Siempre estamos haciendo hincapié en la importancia de instalar los parches para las vulnerabilidades en el software que se explota con mayor frecuencia en los ciberataques: sistemas operativos, navegadores y aplicaciones de oficina. He aquí una buena ilustración de esta tesis: según nuestras estadísticas de vulnerabilidades, las más comúnmente explotadas en los ataques a nuestros clientes, la CVE-2017-11882 en Microsoft Office sigue siendo bastante popular entre los ciberdelincuentes. ¡Y eso a pesar de que la actualización que corrige esta vulnerabilidad se lanzó en noviembre del 2017! Esta popularidad inalterable de la CVE-2017-11882 solo puede significar que alguien lleva más de cinco años sin instalar los parches de Microsoft.
¿Qué es la vulnerabilidad CVE-2017-11882?
La CVE-2017-11882 es una vulnerabilidad RCE en el editor de ecuaciones de Microsoft Office y está asociada con un fallo en el manejo de objetos en la RAM. Para explotar la vulnerabilidad, un atacante debe crear un archivo malicioso y convencer de alguna forma a la víctima para que lo abra. La mayoría de las veces, este archivo se envía por correo electrónico o se aloja en un sitio comprometido.
La explotación de la vulnerabilidad CVE-2017-11882 permite a un atacante ejecutar código arbitrario con los privilegios del usuario que abrió el archivo malicioso. Por tanto, si la víctima tiene derechos de administrador, el atacante podrá tomar el control total de su sistema: instalar programas; ver, modificar o destruir datos; e incluso crear nuevas cuentas.
A finales del 2017, cuando se publicó por primera vez la información sobre la vulnerabilidad, no hubo intentos de explotación. Pero en menos de una semana, apareció una prueba de concepto (PoC por sus siglas en inglés) en Internet y los ataques con la CVE-2017-11882 comenzaron a aparecer los días siguientes.
En el 2018, se convirtió en una de las vulnerabilidades más explotadas de Microsoft Office. En el 2020, durante la pandemia de la Covid-19, la CVE-2017-11882 se utilizó en activo para envíos maliciosos que explotaban el tema de las entregas interrumpidas debido a las restricciones médicas. ¡Y ahora, en el 2023, esta vulnerabilidad aparentemente a merced de los malhechores!
Cómo mantenerte protegido
Por supuesto, la CVE-2017-11882 no es la única vulnerabilidad que se ha utilizado en los ataques durante muchos años. Y ni siquiera la más peligrosa de ellas. Sin embargo, es sorprendente que, a pesar de su relativa popularidad (se escribió mucho al respecto en el 2017), así como de la disponibilidad de actualizaciones y versiones más recientes de MS Office, hay quien todavía usa versiones vulnerables de este paquete ofimático.
Entonces, antes que nada, recomendamos a todas las empresas que usan Microsoft Office que se aseguren de que están trabajando con la versión parcheada de la suite. Por lo general, también es una buena idea monitorizar las nuevas versiones de los parches de seguridad e instalarlos a tiempo. Los demás consejos son bastante estándar:
- Evitar trabajar con documentos de oficina con derechos de administrador.
- No abrir documentos enviados por personas desconocidas y por razones desconocidas.
- Utilizar soluciones de seguridad que puedan detener la explotación de vulnerabilidades.
Kaspersky Endpoint Security for Business detecta y bloquea los intentos de explotación de todas las vulnerabilidades conocidas (incluida esta), así como las que aún no se han descubierto.