Descubren una vulnerabilidad en Microsoft Office que se activa al abrir archivos de texto enriquecido con Word

Hacker
PIXABAY - Archivo
Publicado 16/11/2018 17:41:38CET

   MADRID, 16 Nov. (Portaltic/EP) -

Una vulnerabilidad presente en Microsoft Office 2007, 2010, 2013 y 2016 abría la puerta a la propagación de 'malware' de robo de datos como AgentTesla y Loki cuando el usuario abre un archivo de texto enriquecido (RTF, por sus siglas en inglés).

   Checkpoint ha informado del hallazgo por medio de un comunicado de prensa, en el cual se indica que la vulnerabilidad existente en Microsoft Office 2007, 2010, 2013 y 2016 se descubrió hace tiempo y que, a pesar de que se utilizó un parche para ponerle remedio, han detectado la actividad de programas como AgentTesla o Loki.

   Las capacidades del 'malware' incluyen el robo de credenciales de inicio de sesión del usuario a través de Google Chrome, Mozilla Firefox, Microsoft Outlook y otros, con capturas de pantalla, grabación de webcams e instalación de 'malware' adicional en los equipos infectados.

   El ataque se produce a través de un archivo malicioso de texto enriquecido, que el usuario abre mediante Microsoft Word. Una vez sucede esto, el programa Word lanza un proceso denominado 'schvost' con el que abre el Editor de Ecuaciones de Microsoft, un programa que crea ecuaciones matemáticas dentro de los documentos de Word, y que no debería hacer nada más en circunstancias normales.

   No obstante, una vez se abre el Editor de Ecuaciones en el documento infectado, el actor malicioso 'AgentTesla' lo mantiene en funcionamiento y lanzando archivos ejecutables. El ejecutable 'scvhost.exe', que tiene un nombre muy similar al del proceso 'schvost' del Editor de Ecuaciones, logra establecer una conexión con el servidor de Comando y Control del ciberatacante, lo cual le permitiría infectar el ordenador.

   Según recoge el comunicado, el 'malware' utiliza técnicas de ofuscación de código, utilizadas para esconder el programa y hacerlo más difícil de detectar, con lo que consigue burlar a la mayoría de antivirus.

   La compañía de ciberseguridad ha declarado que para la detección del nuevo 'malware' es importante la "combinación de protecciones avanzadas contra amenazas, múltiples capas de seguridad avanzada y métodos automatizados de ingeniería inversa" presentes en el motor Threat Emulation de una de sus soluciones de seguridad, denominada SandBlast Zero-Day Protection.

Contador