Microsoft advierte a usuarios sobre ataques de malware sin macros
Ciberdelincuentes han explotado una vulnerabilidad recién descubierta en el software de Microsoft para instalar malware en las computadoras.
Según investigadores de seguridad, desde el mes pasado un grupo de atacantes vinculado con Rusia conocido como APT28 ha estado utilizando un protocolo de Microsoft llamado Dynamic Data Exchange (DDE) para ejecutar código malicioso a través de un documento de Word.
Los ataques dirigidos vinculados a APT28 (también conocidos como "Fancy Bear") se han aprovechado del reciente incidente terrorista de la ciudad de Nueva York para intentar esparcir spyware a través de este método.
DDE, como su nombre lo indica, permite que los mensajes y datos se compartan entre las aplicaciones. El mes pasado, se descubrió que era posible lanzar ataques explotando DDE a través de documentos de Word, hojas de cálculo de Excel y Outlook, incluso cuando las macros no están habilitadas.
Ahora, por supuesto, los ataques que explotan los documentos de Microsoft Office no son nada nuevo, y la mayoría de los que trabajan en la industria de la seguridad saben que no se debe permitir macros al abrir archivos debido a la posibilidad de que se ejecute código malicioso.
Pero con este ataque DDE no aparece ningún mensaje para habilitar macros. Esta falta de advertencia permite a los atacantes esquivar un obstáculo que a menudo ha servido como una red de seguridad final para las víctimas.
En cambio, lo más inusual que se podría notar es un cuadro de diálogo emergente que pregunta si deseas actualizar el documento con los datos de los archivos vinculados.
"Este documento contiene enlaces que pueden referirse a otros archivos. ¿Desea actualizar el documento con los datos de los archivos vinculados?"
Microsoft, en un aviso de seguridad publicado ayer, ha descrito cómo la técnica podría ser utilizada en un típico ataque de correo electrónico:
En un escenario de ataque de correo electrónico, un atacante podría aprovechar el protocolo DDE enviando un archivo especialmente diseñado al usuario y luego convencer al usuario de que abra el archivo, generalmente mediante un incentivo en un correo electrónico. El atacante tendría que convencer al usuario para que desactive el Modo protegido y haga clic en una o más solicitudes adicionales. Como los archivos adjuntos de correo electrónico son un método principal que un atacante podría utilizar para propagar malware, Microsoft recomienda encarecidamente a los clientes que tengan cuidado al abrir archivos adjuntos sospechosos.
Entonces, después de décadas de ataques basados en malware vía correo electrónico, volvemos a algunos consejos confiables: sea muy cauteloso con la apertura de archivos adjuntos de correo electrónico no solicitados.
Y, dado que Microsoft considera que la funcionalidad de DDE es una característica en lugar de un error, parece poco probable que vaya a lanzar un parche de seguridad en el corto plazo.
Según el aviso de Microsoft, se recomienda a los usuarios preocupados de Microsoft Office que verifiquen su configuración de seguridad relacionada con el DDE y desactiven la actualización automática de los datos de los campos vinculados para mitigar la amenaza. Actualmente, esta mitigación puede requerir algunas modificaciones en el Registro y, por lo tanto, debe hacerse con cuidado.
Artículo relacionado: