{"id":94611,"date":"2018-11-19T02:44:36","date_gmt":"2018-11-19T10:44:36","guid":{"rendered":"https:\/\/www.paloaltonetworks.com\/blog\/?p=94611"},"modified":"2018-11-19T02:44:36","modified_gmt":"2018-11-19T10:44:36","slug":"informe-sobre-amenazas-los-documentos-de-office-pueden-ser-peligrosos-pero-seguiremos-usandolos","status":"publish","type":"post","link":"https:\/\/origin-researchcenter.paloaltonetworks.com\/blog\/2018\/11\/informe-sobre-amenazas-los-documentos-de-office-pueden-ser-peligrosos-pero-seguiremos-usandolos\/?lang=es","title":{"rendered":"Informe sobre amenazas: los documentos de Office pueden ser peligrosos (pero seguiremos us\u00e1ndolos)"},"content":{"rendered":"

Pr\u00e1cticamente todos utilizamos archivos de Microsoft\u00a0Office, ya se trate de documentos de trabajo, recibos electr\u00f3nicos o un contrato de alquiler. Nos resultan \u00fatiles en muchas ocasiones y este es uno de los motivos por los que, si nos llegan adjuntos a un mensaje de correo electr\u00f3nico, la probabilidad de que los abramos es bastante alta. As\u00ed, sabiendo que mucha gente abre pr\u00e1cticamente cualquier documento de este tipo aunque proceda de una fuente no fiable, los adversarios eligen con frecuencia estos archivos para poner en riesgo la seguridad de un sistema.<\/p>\n

En este informe exponemos cinco maneras en que se pueden subvertir y usar de forma maliciosa para atacar y poner en riesgo la seguridad de endpoints Windows. Algunas ya las hemos comentado en otras ocasiones, mientras que otras son nuevas.<\/p>\n

 <\/p>\n

Macros<\/strong><\/p>\n

Utilizar macros es la forma m\u00e1s directa de convertir un documento de Office en un arma de ataque. Las aplicaciones de Office tienen un motor de scripts integrado capaz de ejecutar scripts de VBA (Visual Basic para Aplicaciones) en cuanto se abre el documento sin que el usuario haga nada (siempre que las macros est\u00e9n habilitadas), con lo que se pueden aprovechar para ejecutar c\u00f3digo malicioso. Si las macros no est\u00e1n habilitadas, aparecer\u00e1 una ventana emergente para pedir al usuario que las habilite. Estas ventanas emergentes constituyen uno de los mecanismos de seguridad que ha a\u00f1adido Microsoft para reducir el riesgo que suponen las macros. Adem\u00e1s, Microsoft utiliza una extensi\u00f3n de archivo diferente (.docm en lugar de .docx) para los nuevos documentos con macros. Sin embargo, a pesar de estas medidas de seguridad, hay usuarios que deciden abrir estos archivos y habilitar su contenido, con lo que las macros siguen siendo un vector de ataque habitual, ya sea para lanzar ataques sencillos con ransomware, como Emotet<\/a>, o con campa\u00f1as avanzadas, como\u00a0Sofacy<\/a>.<\/p>\n

\"\"<\/span><\/div><\/p>\n

Figura 1. El documento de Sofacy antes y despu\u00e9s de habilitar el contenido.<\/p>\n

Como se ve en este ejemplo, los atacantes recurren a t\u00e9cnicas de ingenier\u00eda social para convencer a los usuarios de que desactiven los mecanismos de seguridad de Microsoft si quieren ver todo el documento. En el ejemplo de Sofacy, los atacantes simplemente hab\u00edan utilizado el blanco como color de la letra, as\u00ed que el texto ya estaba presente antes de habilitar las macros, solo que no se ve\u00eda.<\/p>\n

 <\/p>\n

Archivos de Flash incrustados<\/strong><\/p>\n

Los documentos de Office, adem\u00e1s de capacidades integradas como las macros, tambi\u00e9n pueden incluir objetos externos incrustados, como archivos de Adobe Flash. Estos objetos se pasan al software oportuno para que los procese, con lo que cualquier vulnerabilidad que tenga dicho software tambi\u00e9n se podr\u00e1 aprovechar incrust\u00e1ndola dentro del contenido de Adobe Flash que haya en el documento de Office. Un ejemplo de uso de este tipo de vector de ataque es\u00a0CVE-2018-4878<\/a><\/u>, una vulnerabilidad de d\u00eda cero de Adobe Flash Player que se aprovech\u00f3 incrustando archivos SWF maliciosos en documentos de Excel. En los ataques de este tipo, el archivo de Excel malicioso lleva incrustado contenido de Adobe Flash que puede activar la vulnerabilidad de Flash y ejecutar el c\u00f3digo shell incrustado.<\/p>\n

 <\/p>\n

Editor de ecuaciones de Microsoft<\/strong><\/p>\n

Del mismo modo que se pueden incrustar archivos de Adobe Flash en un documento de Office, tambi\u00e9n es posible incrustar ecuaciones en documentos que se vayan a procesar con el editor de ecuaciones de Microsoft, un programa que permite escribir ecuaciones matem\u00e1ticas con facilidad.<\/p>\n

\"\"<\/span><\/div><\/p>\n

Figura 2. \u00a0Editor de ecuaciones de Microsoft<\/p>\n

Como en el ejemplo anterior, se pueden aprovechar vulnerabilidades del editor de ecuaciones mediante documentos maliciosos de Office. Se han visto casos recientemente, como cuando se aprovech\u00f3 la vulnerabilidad\u00a0CVE-2017-11882<\/a><\/u>, que allan\u00f3 el camino para otros exploits como\u00a0CVE-2018-0802<\/a><\/u>. En ambos casos, los atacantes aprovechan fallos en el editor de ecuaciones para ejecutar un c\u00f3digo de forma remota cuando el usuario abre un documento de Office. Aunque a\u00fan no se han observado en acci\u00f3n, los investigadores de Unit\u00a042 han detectado exploits similares en el editor de ecuaciones de Microsoft, como\u00a0CVE-2018-0807<\/a><\/u>\u00a0y\u00a0CVE-2018-0798<\/a><\/u>.<\/p>\n

Cabe se\u00f1alar que, como el editor de ecuaciones de Microsoft ejecuta su propio proceso (eqnedt32.exe), los mecanismos de protecci\u00f3n espec\u00edficos para Microsoft Office, como EMET y Windows Defender, no son eficaces de forma predeterminada, pues solo protegen los procesos de Microsoft Office (como winword.exe).<\/p>\n

 <\/p>\n

Objetos OLE y controladores HTA<\/strong><\/p>\n

Los objetos OLE y los controladores HTA son mecanismos que utilizan los documentos de Office para incluir otros documentos en su contenido mediante referencias. Se pueden utilizar para comprometer un endpoint del siguiente modo:<\/p>\n