Algunas charlas de la conferencia SAS 2019 estaban dedicadas no a los sofisticados ataques de APT, sino a la labor cotidiana de nuestros investigadores de malware. Nuestros expertos Boris Larin, Vlad Stolyarov y Alexander Liskin prepararon una investigación titulada “Catching multilayered zero-day attacks on MS Office” (“La detección de ataques multicapa de día cero en MS Office”). El punto central de su investigación versó sobre los instrumentos que les ayudan en el análisis del malware, pero también señalaron el panorama de amenazas actual de Microsoft Office.
Los cambios en el panorama de amenazas durante dos años son dignos de atención. Nuestros expertos compararon el número de los usuarios atacados desde finales del año pasado, frente a los de hace tan solo dos años y los distribuyeron por plataformas. Y hallaron que los cibercriminales cambiaron su preferencia por las vulnerabilidades basadas en la web en favor de aquellas de MS Office. Sin embargo, lo que les sorprendió fue la magnitud del cambio: hace algunos meses, MS Office se convirtió en la plataforma más atacada, con más del 70% de las agresiones.
A inicios del año pasado, comenzaron a emerger los exploits de día cero para MS Office. Generalmente éstos empiezan con una campaña dirigida, pero a la larga se publican y terminan integrados en un generador de documentos maliciosos; no obstante, el tiempo de repuesta se ha acortado considerablemente. Por ejemplo, en el caso de CVE-2017-11882, la primera vulnerabilidad del editor de ecuaciones que nuestro experto observó, se lanzó una enorme campaña de spam el mismo día en que se publicó la prueba de concepto. Lo mismo es cierto para las otras vulnerabilidades: una vez que se publica un informe de vulnerabilidades, es cuestión de días para que aparezca su exploit en el mercado negro. Los bugs mismos se han vuelto mucho menos complejos, y a veces, todo lo que necesita el cibercriminal es un contenido detallado a fin de crear un exploit funcional.
Una revisión de las vulnerabilidades más explotadas en 2018 confirma esto: que los autores del malware prefieren simples bugs lógicos. Por esta razón, las vulnerabilidades del editor de ecuaciones CVE-2017-11882 y CVE-2018-0802 son ahora los bugs más explotados en MS Office. En términos simples, son confiables y funcionan en todas las versiones de Word lanzadas durante los últimos 17 años; y, lo que es más importante, crear un exploit para cada una no exige habilidades avanzadas. Ello se debe a que el editor de ecuaciones binario no contaba con las protecciones y medidas de mitigación modernas que esperarías de una aplicación en 2018.
Como nota al margen, cabe señalar que ninguna de las vulnerabilidades se encuentra dentro de MS Office, sino que existen en los componentes relacionados.
Pero ¿por qué este tipo de cosas sigue ocurriendo?
Pues bien, la superficie de ataque de MS Office es vasta, con muchos formatos de archivo complicados que deben considerarse, así como su integración con Windows, lo mismo que su interoperatividad. Y, lo más importante en términos de seguridad, es que muchas decisiones que Microsoft tomó al crear Office sencillamente no resultan prudentes ahora, pero modificarlas causaría estragos en la retrocompatibilidad.
Tan solo en 2018, encontramos múltiples vulnerabilidades de día cero explotadas activamente. Entre ellas, se encuentra CVE-2018-8174 (la vulnerabilidad de ejecución remota del código del motor VBScript de Windows). Esta vulnerabilidad resulta de especial interés, puesto que su exploit se encontró en un documento Word, pero la vulnerabilidad se encuentra en realidad en Internet Explorer. Para mayores detalles, consulta esta publicación en Securelist.
Cómo encontramos las vulnerabilidades
Los productos de seguridad para endpoints de Kaspersky cuentan con capacidades heurísticas muy avanzadas para detectar las amenazas distribuidas a través de los documentos de MS Office. Se trata de una de las primeras capas de detección. El motor heurístico conoce todos los formatos de archivos y ofuscaciones para documentos, y sirve como la primera línea defensiva. Pero cuando hallamos un objeto malicioso, no nos detenemos simplemente tras determinar que es peligroso; dicho objeto se circula posteriormente a través de distintas capas de seguridad. El espacio aislado (sandbox) constituye un ejemplo de una tecnología particularmente exitosa.
En materia de seguridad de la información, los espacios aislados se emplean para separar los entornos inseguros de los seguros, y viceversa, con el fin de protegerlos contra la explotación de vulnerabilidades, y para analizar el código malicioso. Nuestro espacio aislado es un sistema para la detección de malware que ejecuta un objeto sospechoso en una máquina virtual con un sistema operativo completamente funcional, y detecta la actividad maliciosa del objeto mediante un análisis de su comportamiento. Se desarrolló hace algunos años para usarlo en nuestra infraestructura y, posteriormente, se convirtió en parte de Kaspersky Anti-Targeted Attack Platform.
Microsoft Office ha sido y seguirá siendo un seductor objetivo para los atacantes. Los cibercriminales van tras los objetivos más fáciles, y las funciones obsoletas seguirán siendo usadas indebidamente. Así que para proteger tu empresa, te aconsejamos que emplees soluciones cuya efectividad se haya comprobado a través de una larga lista de CVE detectadas.