Nuevos detalles acerca de la vulnerabilidad 0-day en Windows MSHTML confirman su peligrosidad

El pasado martes 8 de septiembre, Microsoft y la Agencia de Ciberseguridad e Infraestructuras de los EE.UU. (CISA por sus siglas en inglés) alertando de una nueva vulnerabilidad que se estaría utilizando para realizar ataques dirigidos mediante el envío de documentos de Office maliciosos. Ahora, nuevos detalles acerca de esta vulnerabilidad obtenidos por varios investigadores alertan de su gravedad y ponen en duda la eficacia de las medidas propuestas por Microsoft para mitigar su impacto.

La importancia de esta vulnerabilidad

Hasta el momento Microsoft no ha aportado demasiados detalles acerca de esta vulnerabilidad, más allá de que se están usando controles ActiveX maliciosos para explotarla en Office 365 y Office 2019 en Windows 10, permitiendo así la ejecución de malware en sistemas vulnerables.

Aunque en primera instancia se dijo que el modo de vista protegida que incorpora Office mitigaba su impacto, es bastante fácil para los atacantes sortear esta medida de seguridad. Eso sin tener en cuenta que muchos de los usuarios ignoran estos avisos y permiten la ejecución de código sin pensar en las posibles consecuencias.

Office añade una marca especial conocida como la “Marca de la Web” (MoTW) a todos los documentos descargados desde Internet. De esta forma se alerta de posibles amenazas camufladas en su interior, muchas veces en forma de macros maliciosas. Sin embargo, investigadores como Will Dormann alertan de la posibilidad de evitar que se muestre este aviso utilizando sencillas técnicas.

Por ejemplo, un atacante podría incluir el documento malicioso comprimido dentro de un contenedor como 7Zip, lo que haría que al abrirlo tras descargarlo no se le incorporase la marca de la web y no se abriese en el modo de vista protegida.

También podría presentarse el documento dentro de otro tipo de contenedor como un archivo ISO, que puede abrirse simplemente pulsando dos veces sobre él y en el que no se aplicaría tampoco el modo de vista protegida. Por si fuera poco, a los documentos en otros formatos como RTF, no se les aplica la vista protegida al abrirse, por lo que también pueden usarse para realizar ataques aprovechando esta vulnerabilidad sin despertar sospechas.

La principal mitigación que ofreció Microsoft en su alerta el pasado martes consistía en evitar que los controles ActiveX se ejecutasen en Internet Explorer, lo que bloqueaba los ataques que se aprovechaban de esta vulnerabilidad. Sin embargo, gracias al sitio web Bleeping Computer y al investigador Kevin Beaumont, ahora sabemos que existen formas de saltarse también esta mitigación y terminar explotando esta vulnerabilidad.

Como se está usando esta vulnerabilidad en ataques

Cuando se lanzó la alerta hace unos días, Microsoft ya dijo que esta vulnerabilidad se estaba utilizando en ataques dirigidos usando documentos de Office. Si bien hasta el momento no se han observado los emails usados en estos ataques dirigidos si que se han obtenidos varias muestras de los documentos usados en estas campañas.

En algunos de los documento detectados hasta ahora vemos como se hace mención a una supuesta aplicación o web o incluso a una carta remitida supuestamente desde un despacho de abogados.

En el caso de que el receptor de estos documentes los abra y desactive la vista protegida, se realizará una conexión usando el protocolo MHTML con un sitio web controlado por los atacantes y se descargará un archivo html que se carga como una plantilla de Word.

Debido a que las direcciones MHTML se suelen abrir con el navegador Internet Explorer, este se usará para visualizar el fichero html descargado, que contienen código JavaScript ofuscado y preparado para explotar la vulnerabilidad mediante la creación de un control ActiveX malicioso.

Seguidamente se descarga otro fichero ministry.cab de un sitio remoto que termina extrayendo una librería DLL y ejecuta un archivo CPL. Algunas investigaciones apuntan a que la finalidad de toda esta cadena de infección es la de instalar un beacon de la conocida herramienta de pentesting Cobalt Strike, lo que permitiría a los atacantes seguir accediendo remotamente al dispositivo comprometido.

A partir de este punto podrían desplegar todo tipo de actividades maliciosas tales como la descarga de nuevos tipos de malware, el robo de información o incluso el cifrado de información para solicitar un rescate.

Conclusión

Debido a que aun no se dispone de un parche de segurida para esta grave vulnerabilidad y las medidas de mitigación pueden ser evitadas con facilidad por los atacantes, recomendamos encarecidamente evitar abrir documentos no solicitados, incluso aunque estén enviados desde remitentes de confianza. Además, contar con una solución de seguridad ayuda a detectar estas amenazas e impide que lleguen a ejecutarse en el sistema y provoquen graves daños.

Josep Albors

Estas son las 5 estafas más frecuentes en Instagram