Los documentos ofimáticos siguen siendo una de las vías de ataque preferidas para infectar equipos utilizando diversos métodos de ingeniería social.

Uno de los métodos preferidos por los ciberdelincuentes para comprometer equipos es crear documentos ofimáticos maliciosos que posteriormente enviarán por correo de forma masiva. La idea es crear un correo con una temática que enganche para conseguir que sean los propios usuarios los que reenvíen el mismo a sus contactos, produciendo así un efecto multiplicador. Generalmente este tipo de correos llevan adjunto algún tipo de documento ofimático (.doc, .ppt, .xls, etc.) que se aprovecha de alguna vulnerabilidad para ejecutar código en el equipo del usuario. Lenny Zeltser explicaba el pasado 17 de Mayo  las diversas vías que suelen emplearse para ejecutar una shell por medio de  este tipo de documentos.

Una de las técnicas principales es crear macros VBA  con las que ejecutar el código deseado. Desde frameworks como Metasploit es realmente sencillo inyectar el payload  deseado dentro de documentos ofimáticos como Word o Excel. Otra opción más eficiente de cara a evadir antivirus es mediante shellcodexec , el cual, de forma similar al anterior, permite ejecutar una shellcode en memoria.

Captura de MetasploitOtra opción para ejecutar código, es aprovechando de alguna vulnerabilidad en el propio software ofimático del usuario. Ejemplo de ello es el exploit ms10_087_rtf_pfragments_bof.rb, el cual, se aprovechaba de una vulnerabilidad (CVE-2010-3333) en ficheros Microsoft Word RTF y que permitía un desbordamiento de búfer basado en pila en el parámetro _pFragments cuando se parsea (análisis sintáctico de) un fichero RTF.

Exploit para officeImagen extraída del informe “Pentest: Information Gathering”

La reciente vulnerabilidad en Microsoft Excel(CVE-2012-0141) o la famosa (CVE-2011-0609), la cual fue utilizada para comprometer los sistemas de RSA mediante un fichero .xls con un swf embebido sirven de ejemplo para ver las implicaciones que puede llegar a tener, para una organización, un fichero ofimático malicioso.

Para prevenir este tipo de ataques es fundamental disponer siempre de las versiones más recientes del software ofimático, además de disponer de una política que restringa al máximo el uso de macros en estas aplicaciones. Desde la ayuda online de Microsoft Office  puede consultarse como habilitar o deshabilitar las macros en los diversos formatos ofimáticos. Además, para evitar ser víctima de este tipo de engaños, recomendamos seguir nuestras pautas de seguridad sobre el correo electrónico:

  • Nunca abrir correos de usuarios desconocidos o que no haya solicitado, elimínelos directamente.
  • No contestar en ningún caso a estos correos.
  • Nunca seguir los enlaces que aparecen en correos sospechosos.
  • Puede denunciar este correo ante los cuerpos y fuerzas de seguridad del estado.
Anuncios