Característica incorporada de MS Office podría ser explotada para crear malware auto-replicante
A principios de este mes, un investigador de ciberseguridad compartió detalles de una brecha de seguridad a través de The Hacker News que afecta a todas las versiones de Microsoft Office, permitiendo a actores maliciosos crear y propagar malware auto-replicante basado en macros.
El malware auto-replicante basado en macros, que básicamente permite a un macro escribir más macros, no es nuevo entre los ciber criminales, pero para prevenir estas amenazas, Microsoft ha introducido un nuevo mecanismo de seguridad en MS Office que por defecto limita esta funcionalidad.
Lino Antonio Buono, un investigador de seguridad Italiano que trabaja en InTheCyber, reportó una técnica simple (detallada más abajo) que podría permitir a cualquiera brincar los controles de seguridad puestos por Microsoft y crear malware auto-replicante, escondido detrás de un aparentemente inocuo documento MS Word.
¿Qué es peor? Microsoft se rehusó a considerar este problema como una brecha de seguridad cuando el investigador se puso en contacto con ellos en octubre de este año, diciendo que es una herramienta destinada a funcionar de esta manera, justo como la característica DDE de MS Office, que los atacantes están utilizando activamente.
Nuevo Ransomware 'qkG' encontrado utilizando la misma técnica de auto-replicante
Curiosamente, uno de esos programas maliciosos está en camino de afectarte. Lo sé, eso fue rápido, incluso antes de su divulgación pública.
Trend Micro publicó un informe sobre una nueva pieza de ransomware auto-replicante basado en macros, denominado "qkG", que explota exactamente la misma característica de MS Office que Buono describió.
Trend Micro detectó muestras del ransomware qkG en VirusTotal, cargadas por alguien de Vietnam, y dijeron que este ransomware parece "más un proyecto experimental o una prueba de concepto (PoC) que un malware utilizado activamente de forma cotidiana".
El ransomware qkG emplea la técnica “Auto Close VBA macro”, una técnica que permite ejecutar macros maliciosas cuando la víctima cierra el documento.
La última muestra del ransomware qkG ahora incluye una dirección de Bitcoin con una pequeña nota de rescate que exige $300 en BTC, como se muestra.
Cabe señalar que la dirección de Bitcoin antes mencionada no ha recibido ningún pago aún, lo que aparentemente significa que este ransomware aún no se ha usado en personas como objetivos.
Además, este ransomware está utilizando actualmente la misma contraseña codificada: "¡Estoy QkG @ PTM17! Por TNA @ MHT-TT2" que desbloquea los archivos afectados.
Así es como funciona esta nueva técnica de ataque
Con el fin de hacer entender la técnica completa del ataque, Buono compartió un video en The Hacker News que demuestra cómo un documento de MS Word equipado con código VBA malicioso podría ser utilizado para entregar malware multi-etapa auto-replicante.
Si no está enterado, Microsoft ha deshabilitado las macros externas (o no confiables) de forma predeterminada y para restringir el acceso programable al modelo de objetos de proyecto de VBA, incluso ofrece a los usuarios habilitar manualmente el acceso de confianza al modelo de objetos de proyecto de VBA, siempre que sea necesario.
Con la opción "Confiar en el acceso al modelo de objetos de proyecto de VBA " habilitada, MS Office confía en todas las macros y ejecuta automáticamente cualquier código sin mostrar advertencia de seguridad o requerir permiso del usuario.
Buono descubrió que esta configuración puede habilitarse/deshabilitarse simplemente editando el registro de Windows, permitiendo eventualmente que las macros escriban más macros sin el consentimiento o conocimiento del usuario.
Como se mostró en el video, un archivo MS Doc malicioso creado por Buono hace lo mismo: primero edita los registros de Windows y luego inyecta la misma carga macro (código VBA) en cada documento que la víctima crea, edita o simplemente abre en su sistema
Las víctimas serán responsables de propagar el malware sin saberlo
En otras palabras, si la víctima permite erróneamente que el archivo malicioso ejecute macros una vez, su sistema se mantendrá abierto a los ataques basados en macros.
Adicionalmente, sin darse cuenta, la víctima también será responsable de propagar el mismo código malicioso a otros usuarios compartiendo los archivos infectados de su sistema.
Esta técnica de ataque podría ser más preocupante cuando se recibe un archivo .doc malicioso de un contacto de confianza que ya ha sido infectado con dicho malware, convirtiéndose finalmente en su próximo vector de ataque para los demás.
A pesar de que esta técnica no se está explotando, el investigador cree que podría aprovecharse para propagar peligroso malware auto-replicante que podría ser difícil de tratar y detener.
Como se trata de una característica legítima, la mayoría de las soluciones antivirus no marcan ninguna advertencia ni bloquean los documentos de MS Office con código VBA. La compañía tecnológica tampoco tiene planes de emitir un parche que restrinja esta funcionalidad.
Buono sugiere que "para mitigar (parcialmente) la vulnerabilidad, es posible mover la clave de registro de AccessVBOM de la HKCU a la HKLM, haciéndola editable solo por el administrador del sistema".
La mejor manera de protegerse contra ese tipo de malware es siempre sospechar de cualquier documento enviado a través de un correo electrónico no deseado y nunca hacer clic en los enlaces dentro de esos documentos a menos que se verifique adecuadamente la fuente.