Esta vulnerabilidad en Office permite al malware replicarse automáticamente
Para empezar, diremos que un investigador italiano de la empresa de seguridad “InTheCyber” de nuevo ha descubierto una técnica de ataque para crear malware oculto en documentos de la herramienta ofimática de Microsoft, Word.
Como recordaréis, hace solo unas semanas un investigador de seguridad asimismo encontró y comunicó un fallo que afectaba a todas las versiones de Office y que podría ser explotado por los atacantes, todo ello con el fin de propagar malware basado en macros, como os explicamos en su momento.
Una vez fue informado, Microsoft implementó rápidamente un mecanismo de seguridad en su suite de seguridad que previene este tipo de ataques, al menos eso era lo que se pensaba en un principio. Pero es que ahora el mencionado investigador de InTheCyber, Lino Antonio Buono, ha encontrado otra técnica de ataque para eludir el control de seguridad implementado por Microsoft que os acabamos de comentar, y así crear de nuevo malware oculto en los documentos de Microsoft Word. A pesar de que el mismo Buono reportó este nuevo fallo a los de Redmond en octubre, desafortunadamente estos no consideraron el problema como una vulnerabilidad de seguridad.
De hecho, el propio gigante tecnológico consideró que esta característica explotada por el investigador italiano fue implementada para trabajar exactamente así, pero claro, este es un fallo que ya está siendo explotado por los ciberdelincuentes haciendo uso del vector de ataque encontrado por Buono sin que Microsoft ponga medios para remediarlo.
Decimos esto porque hace solo unos días unos investigadores de seguridad de Trend Micro detallaron un ransomware basado en macros recientemente descubierto, al que llamaron “qkG” y que de hecho explota la misma función de Office utilizada por Buono en su técnica de ataque.
Office sigue teniendo problemas de seguridad
Una vez analizado más en profundidad, “qkG” muestra que se trata más de un proyecto experimental o una prueba que de un malware como tal, aunque esto no le resta importancia ni peligrosidad al asunto. Y es que como demostraron las muestras detectadas, sus comportamientos y técnicas pueden ser enormemente refinados, bien por su desarrollador, bien por otros atacantes.
Una de las características del malware es que está oculto y es indetectable hasta que llega el momento indicado por el atacante, que es cuando se activa junto con una rutina que encripta los documentos en un día y hora específicos. Es por ello que el ransomware “qkG” se basa en la técnica de macro VBA Auto Close para ejecutar una macro maliciosa cuando la víctima cierra el documento.
Para terminar, diremos que el archivo malicioso creado por Buono para hacer las pruebas, primero edita el mismo registro de Windows para ser efectivo, y luego inyecta la macro con el código VBA en cada archivo doc que la víctima manipula para su encriptación.