Ciberatacantes explotan errores de Microsoft Office de 17 años
Recientemente se ha explotado una vulnerabilidad de 17 años de antigüedad en Microsoft Office la cual permite a los ciberatacantes instalar malware en computadoras específicas sin necesidad de la interacción del usuario. Esto es utilizado para distribuir malware de puerta trasera (backdoor).
Descubierto por primera vez por investigadores de la firma de seguridad Fortinet, el malware ha recibido el nombre de Cobalt porque utiliza un componente de una poderosa y herramienta de prueba de penetración legítima , llamada Cobalt Strike.![](https://4.bp.blogspot.com/-dp7fBLkGvL4/Wh6EohK6DoI/AAAAAAAAu-8/k9Jc2uMjTToyIwlCc_2sFKuVQIDmSmvgQCLcBGAs/s1600/cobalt-strike-malware-attack.png" imageanchor="1" style="clear: left; float: left; margin-bottom: 0px; margin-right: 1em; margin-left: 0px;"><img alt="cobalt-strike-malware-attack" data-original-height="380" data-original-width="728" src="https://4.bp.blogspot.com/-dp7fBLkGvL4/Wh6EohK6DoI/AAAAAAAAu-8/k9Jc2uMjTToyIwlCc_2sFKuVQIDmSmvgQCLcBGAs/s1600/cobalt-strike-malware-attack.png)
Cobalt Strike es una forma de software desarrollado para Red Team Operations y Adversary Simulations para acceder a los canales ocultos de un sistema.
La vulnerabilidad (CVE-2017-11882) que el malware Cobalt utiliza para instalar la backdoor es un problema de corrupción de memoria que permite a los atacantes remotos no autenticados ejecutar código malicioso en el sistema de destino al abrir un archivo malicioso y potencialmente tomar el control total sobre el equipo.
Esta vulnerabilidad afecta a todas las versiones del sistema operativo Microsoft Office y Windows, aunque Microsoft ya ha lanzado una actualización para solucionar la problematica.
![](https://3.bp.blogspot.com/-uFr-AE7ULNA/Wh6Ce7b_hhI/AAAAAAAAu-w/TzX-bG4WvfwSXCfOhAZmmyJ2j6W91vMEwCLcBGAs/s1600/cobalt-strike-malware.png" imageanchor="1" style="clear: left; float: left; margin-bottom: 0px; margin-right: 1em; margin-left: 0px;"><img alt="cobalt-strike-malware" data-original-height="380" data-original-width="728" src="https://3.bp.blogspot.com/-uFr-AE7ULNA/Wh6Ce7b_hhI/AAAAAAAAu-w/TzX-bG4WvfwSXCfOhAZmmyJ2j6W91vMEwCLcBGAs/s1600/cobalt-strike-malware.png)
Dado que los ciberdelincuentes se han enfocado en tomar rápidamente ventaja sobre las recientes vulnerabilidades divulgadas, los actores amenazantes comenzaron a distribuir el malware de Cobalt usando el exploit CVE-2017-11882 por correo no deseado pocos días después de su divulgación.
Según los investigadores de Fortinet, el malware Cobalt se entrega a través de correos electrónicos no deseados, que se disfrazan como una notificación de Visa con respecto a los cambios de reglas en Rusia, con un archivo adjunto que incluye un documento RTF malicioso, como se muestra arriba.
El correo electrónico también contiene un archivo protegido por contraseña con credenciales de inicio de sesión proporcionadas en el correo electrónico para desbloquearlo con el fin de engañar a las víctimas haciéndoles creer que el correo electrónico provino del servicio financiero legítimo.
"Esto es [también] para evitar que los sistemas de autoanálisis extraigan los archivos maliciosos para el aislamiento y la zona de pruebas", escribieron los investigadores de Fortinet, Jasper Manual y Joie Salvio.
"Desde que una copia del documento malicioso es abierto, es posible que esto sea solo para engañar al usuario y hacerle pensar que la seguridad es efectiva, que es algo que uno esperaría en un correo electrónico de un servicio financiero ampliamente utilizado".
Una vez que se abre el documento, el usuario observa un archivo simple con las palabras "Habilitar edición". Sin embargo, una secuencia de comandos de PowerShell se ejecuta silenciosamente en segundo plano, lo que finalmente descarga un cliente de Cobalt Strike para tomar el control de la máquina de la víctima.
Con el control del sistema de la víctima, los hackers pueden "iniciar procedimientos de movimiento lateral en la red mediante la ejecución de una amplia gama de comandos", dijeron los investigadores.
Según los investigadores, los ciberdelincuentes siempre buscan esas vulnerabilidades para explotarlas en sus campañas de malware, y debido a que un número significativo de usuarios ignoran las actualizaciones de software y por lo tanto dejan sus sistemas sin actualizar, esto los vuelve vulnerables a tales ataques.
La mejor manera de proteger tu computadora contra el ataque de malware Cobalt es descargar el parche para la vulnerabilidad CVE-2017-11882 y actualizar sus sistemas de inmediato.