{"id":14369,"date":"2019-04-11T10:37:00","date_gmt":"2019-04-11T16:37:00","guid":{"rendered":"https:\/\/latam.kaspersky.com\/blog\/?p=14369"},"modified":"2022-05-05T09:47:14","modified_gmt":"2022-05-05T15:47:14","slug":"ms-office-vulnerabilities-sas-2019","status":"publish","type":"post","link":"https:\/\/latam.kaspersky.com\/blog\/ms-office-vulnerabilities-sas-2019\/14369\/","title":{"rendered":"Las vulnerabilidades de Microsoft Office"},"content":{"rendered":"<p>Algunas charlas de la conferencia SAS 2019 estaban dedicadas no a los sofisticados ataques de APT, sino a la labor cotidiana de nuestros investigadores de <em>malware<\/em>. Nuestros expertos Boris Larin, Vlad Stolyarov y Alexander Liskin prepararon una investigaci\u00f3n titulada \u201cCatching multilayered zero-day attacks on MS Office\u201d (\u201cLa detecci\u00f3n de ataques multicapa de d\u00eda cero en MS Office\u201d). El punto central de su investigaci\u00f3n vers\u00f3 sobre los instrumentos que les ayudan en el an\u00e1lisis del <em>malware<\/em>, pero tambi\u00e9n se\u00f1alaron el panorama de amenazas actual de Microsoft Office.<\/p>\n<p>Los cambios en el panorama de amenazas durante dos a\u00f1os son dignos de atenci\u00f3n. Nuestros expertos compararon el n\u00famero de los usuarios atacados desde finales del a\u00f1o pasado, frente a los de hace tan solo dos a\u00f1os y los distribuyeron\u00a0por plataformas. Y hallaron que los cibercriminales cambiaron su preferencia por las vulnerabilidades basadas en la web en favor de aquellas de MS Office. Sin embargo, lo que les sorprendi\u00f3 fue la magnitud del cambio: hace algunos meses, MS Office se convirti\u00f3 en la plataforma m\u00e1s atacada, con m\u00e1s del 70% de las agresiones.<\/p>\n<p><img decoding=\"async\" class=\"aligncenter size-full wp-image-14371\" src=\"https:\/\/media.kasperskydaily.com\/wp-content\/uploads\/sites\/87\/2019\/04\/10145441\/office_platforms_diagram.png\" alt=\"\" width=\"1166\" height=\"650\"><\/p>\n<p>A inicios del a\u00f1o pasado, comenzaron a emerger los <em>exploits<\/em> de d\u00eda cero para MS Office. Generalmente \u00e9stos empiezan con una campa\u00f1a dirigida, pero a la larga se publican y terminan integrados en un generador de documentos maliciosos; no obstante, el tiempo de repuesta se ha acortado considerablemente. Por ejemplo, en el caso de CVE-2017-11882, la primera vulnerabilidad del editor de ecuaciones que nuestro experto observ\u00f3, se lanz\u00f3 una enorme campa\u00f1a de\u00a0<em>spam<\/em> el mismo d\u00eda en que se public\u00f3 la prueba de concepto. Lo mismo es cierto para las otras vulnerabilidades: una vez que se publica un informe de vulnerabilidades, es cuesti\u00f3n de d\u00edas para que aparezca su <em>exploit<\/em> en el mercado negro. Los <em>bugs<\/em> mismos se han vuelto mucho menos complejos, y a veces, todo lo que necesita el cibercriminal es un contenido detallado a fin de crear un <em>exploit<\/em> funcional.<\/p>\n<p>Una revisi\u00f3n de las vulnerabilidades m\u00e1s explotadas en 2018 confirma esto: que los autores del <em>malware<\/em> prefieren simples <em>bugs<\/em> l\u00f3gicos. Por esta raz\u00f3n, las vulnerabilidades del editor de ecuaciones CVE-2017-11882 y CVE-2018-0802 son ahora los <em>bugs<\/em> m\u00e1s explotados en MS Office. En t\u00e9rminos simples, son confiables y funcionan en todas las versiones de Word lanzadas durante los \u00faltimos 17 a\u00f1os; y, lo que es m\u00e1s importante, crear un <em>exploit<\/em> para cada una no exige habilidades avanzadas. Ello se debe a que el editor de ecuaciones binario no contaba con las protecciones y medidas de mitigaci\u00f3n modernas que esperar\u00edas de una aplicaci\u00f3n en 2018.<\/p>\n<p>Como nota al margen, cabe se\u00f1alar que ninguna de las vulnerabilidades se encuentra dentro de MS Office, sino que existen en los componentes relacionados.<\/p>\n<p>Pero \u00bfpor qu\u00e9 este tipo de cosas sigue ocurriendo?<\/p>\n<p>Pues bien, la superficie de ataque de MS Office es vasta, con muchos formatos de archivo complicados que deben considerarse, as\u00ed como su integraci\u00f3n con Windows, lo mismo que su interoperatividad. Y, lo m\u00e1s importante en t\u00e9rminos de seguridad, es que muchas decisiones que Microsoft tom\u00f3 al crear Office sencillamente no resultan prudentes ahora, pero modificarlas causar\u00eda estragos en la retrocompatibilidad.<\/p>\n<p>Tan solo en 2018, encontramos m\u00faltiples vulnerabilidades de d\u00eda cero explotadas activamente. Entre ellas, se encuentra <a href=\"https:\/\/securelist.com\/delving-deep-into-vbscript-analysis-of-cve-2018-8174-exploitation\/86333\/\" target=\"_blank\" rel=\"noopener\">CVE-2018-8174 (la vulnerabilidad de ejecuci\u00f3n <\/a><a href=\"https:\/\/securelist.com\/delving-deep-into-vbscript-analysis-of-cve-2018-8174-exploitation\/86333\/\" target=\"_blank\" rel=\"noopener\">remota\u00a0<\/a><a href=\"https:\/\/securelist.com\/delving-deep-into-vbscript-analysis-of-cve-2018-8174-exploitation\/86333\/\" target=\"_blank\" rel=\"noopener\">del c\u00f3digo del motor VBScript de Windows)<\/a>. Esta vulnerabilidad resulta de especial inter\u00e9s, puesto que su <em>exploit<\/em> se encontr\u00f3 en un documento Word,\u00a0 pero la vulnerabilidad se encuentra en realidad en Internet Explorer. Para mayores detalles, consulta esta <a href=\"https:\/\/securelist.com\/delving-deep-into-vbscript-analysis-of-cve-2018-8174-exploitation\/86333\/\" target=\"_blank\" rel=\"noopener\">publicaci\u00f3n en Securelist<\/a>.<\/p>\n<h2>C\u00f3mo encontramos las vulnerabilidades<\/h2>\n<p>Los <a href=\"https:\/\/latam.kaspersky.com\/small-to-medium-business-security?icid=es-LA_kdailyplacehold_acq_ona_smm__onl_b2b_kasperskydaily_wpplaceholder_______\" target=\"_blank\" rel=\"noopener\">productos de seguridad para endpoints<\/a> de Kaspersky cuentan con capacidades heur\u00edsticas muy avanzadas para detectar las amenazas distribuidas a trav\u00e9s de los documentos de MS Office. Se trata de una de las primeras capas de detecci\u00f3n. El motor heur\u00edstico conoce todos los formatos de archivos y ofuscaciones para documentos, y sirve como la primera l\u00ednea defensiva. Pero cuando hallamos un objeto malicioso, no nos detenemos simplemente tras determinar que es peligroso; dicho objeto se circula posteriormente a trav\u00e9s de distintas capas de seguridad. El espacio aislado (<em>sandbox<\/em>) constituye un ejemplo de una tecnolog\u00eda particularmente exitosa.<\/p>\n<p>En materia de seguridad de la informaci\u00f3n, los espacios aislados se emplean para separar los entornos inseguros de los seguros, y viceversa, con el fin de protegerlos contra la explotaci\u00f3n de vulnerabilidades, y para analizar el c\u00f3digo malicioso. Nuestro espacio aislado es un sistema para la detecci\u00f3n de <em>malware<\/em> que ejecuta un objeto sospechoso en una m\u00e1quina virtual con un sistema operativo completamente funcional, y detecta la actividad maliciosa del objeto mediante un an\u00e1lisis de su comportamiento. Se desarroll\u00f3 hace algunos a\u00f1os para usarlo en nuestra infraestructura y, posteriormente, se convirti\u00f3 en parte de <a href=\"https:\/\/latam.kaspersky.com\/enterprise-security\/anti-targeted-attack-platform?redef=1&amp;reseller=gl_enterprsec_oth_ona_smm__onl_b2b_blog_ban____kata___\" target=\"_blank\" rel=\"noopener\">Kaspersky Anti-Targeted Attack Platform<\/a>.<\/p>\n<p>Microsoft Office ha sido y seguir\u00e1 siendo un seductor objetivo para los atacantes. Los cibercriminales van tras los objetivos m\u00e1s f\u00e1ciles, y las funciones obsoletas seguir\u00e1n siendo usadas indebidamente. As\u00ed que para proteger tu empresa, te aconsejamos que emplees soluciones cuya efectividad se haya comprobado a trav\u00e9s de una larga lista de CVE detectadas.<\/p>\n<input type=\"hidden\" class=\"category_for_banner\" value=\"kesb-trial\">\n","protected":false},"excerpt":{"rendered":"<p>La conferencia SAS 2019  se centr\u00f3 en el panorama de amenazas de Microsoft Office y en las tecnolog\u00edas que nos ayudan a identificar los exploits de d\u00eda cero.<\/p>\n","protected":false},"author":2706,"featured_media":14370,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[2795,3539,3540],"tags":[3677,3698,783,3678,1710,647],"class_list":{"0":"post-14369","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-business","8":"category-enterprise","9":"category-smb","10":"tag-thesas2019","11":"tag-office","12":"tag-sas","13":"tag-sas-2019","14":"tag-security-analyst-summit","15":"tag-vulnerabilidades"},"hreflang":[{"hreflang":"es-mx","url":"https:\/\/latam.kaspersky.com\/blog\/ms-office-vulnerabilities-sas-2019\/14369\/"},{"hreflang":"en-in","url":"https:\/\/www.kaspersky.co.in\/blog\/ms-office-vulnerabilities-sas-2019\/15601\/"},{"hreflang":"en-ae","url":"https:\/\/me-en.kaspersky.com\/blog\/ms-office-vulnerabilities-sas-2019\/13145\/"},{"hreflang":"en-us","url":"https:\/\/usa.kaspersky.com\/blog\/ms-office-vulnerabilities-sas-2019\/17521\/"},{"hreflang":"en-gb","url":"https:\/\/www.kaspersky.co.uk\/blog\/ms-office-vulnerabilities-sas-2019\/15670\/"},{"hreflang":"es","url":"https:\/\/www.kaspersky.es\/blog\/ms-office-vulnerabilities-sas-2019\/18244\/"},{"hreflang":"it","url":"https:\/\/www.kaspersky.it\/blog\/ms-office-vulnerabilities-sas-2019\/17173\/"},{"hreflang":"ru","url":"https:\/\/www.kaspersky.ru\/blog\/ms-office-vulnerabilities-sas-2019\/22603\/"},{"hreflang":"tr","url":"https:\/\/www.kaspersky.com.tr\/blog\/ms-office-vulnerabilities-sas-2019\/5876\/"},{"hreflang":"x-default","url":"https:\/\/www.kaspersky.com\/blog\/ms-office-vulnerabilities-sas-2019\/26415\/"},{"hreflang":"fr","url":"https:\/\/www.kaspersky.fr\/blog\/ms-office-vulnerabilities-sas-2019-2\/11601\/"},{"hreflang":"pt-br","url":"https:\/\/www.kaspersky.com.br\/blog\/ms-office-vulnerabilities-sas-2019\/11676\/"},{"hreflang":"pl","url":"https:\/\/plblog.kaspersky.com\/ms-office-vulnerabilities-sas-2019\/10600\/"},{"hreflang":"de","url":"https:\/\/www.kaspersky.de\/blog\/ms-office-vulnerabilities-sas-2019\/19022\/"},{"hreflang":"ja","url":"https:\/\/blog.kaspersky.co.jp\/ms-office-vulnerabilities-sas-2019\/23042\/"},{"hreflang":"ru-kz","url":"https:\/\/blog.kaspersky.kz\/ms-office-vulnerabilities-sas-2019\/18258\/"},{"hreflang":"en-au","url":"https:\/\/www.kaspersky.com.au\/blog\/ms-office-vulnerabilities-sas-2019\/22452\/"},{"hreflang":"en-za","url":"https:\/\/www.kaspersky.co.za\/blog\/ms-office-vulnerabilities-sas-2019\/22389\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/latam.kaspersky.com\/blog\/tag\/sas\/","name":"SAS"},"_links":{"self":[{"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/posts\/14369","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/users\/2706"}],"replies":[{"embeddable":true,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/comments?post=14369"}],"version-history":[{"count":6,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/posts\/14369\/revisions"}],"predecessor-version":[{"id":15860,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/posts\/14369\/revisions\/15860"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/media\/14370"}],"wp:attachment":[{"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/media?parent=14369"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/categories?post=14369"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/tags?post=14369"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}