La misteriosa vulnerabilidad día cero “double kill” que está siendo activamente explotada

Corporate

“Double kill” es un pretencioso termino que proviene de los videojuegos violentos que se refiere a cuando matas a dos atacantes con un solo disparo.

En el ámbito del cibercrimen, es el nombre que la empresa de seguridad informática china Qihoo le ha dado a lo que afirma es una vulnerabilidad día cero en Internet Explorer que está siendo activamente explotada.

Como probablemente sabes, los exploits día cero se llaman así porque se encuentran en manos de los cibercriminales antes de que exista un parche oficial, por lo tanto dando cero días para que un usuario bien informado aplique la cura.

Si no existe ningún parche disponible, lo mejor es buscar una alternativa que minimice o elimine los efectos del problema en cada entorno.

Desafortunadamente en este caso, Qihoo no ha dado mucha información: solo hemos podido conocer unos pocos detalles de cómo funciona “double kill” o a lo que debes estar atento si un atacante lo emplea contra ti.

Todo lo que sabemos es que “double kill” comienza con un documento Word, presumiblemente enviado como un adjunto en un correo electrónico.

Si abres el documento infectado, que según afirma Qihoo, este contiene algún tipo de shellcode que activa Internet Explorer en un segundo plano y finalmente permite descargar un programa que se ejecutara sin ningún aviso.

Según Quihoo:

… el primer exploit basado en documentos Office que usa una vulnerabilidad día cero del navegador para realizar el ataque. Abrir un documento Office malicioso puede infectar con un troyano que permitiría tomar el control total del ordenador de la víctima […] los hackers han realizado el ataque APT distribuyendo documentos Office que contenían webs maliciosas. Cuando los usuarios afectados abrían los documentos, scripts maliciosos usaban la vulnerabilidad para descargar y ejecutar payloads de servidores remotos.

Lo que no nos cuentan es:

  • Qué formatos (por ejemplo RTF, DOC, DOCX, XLS, XLSX, PPT o PPTX) se ven afectados por esta vulnerabilidad.
  • Si los documentos Office maliciosos contienen macros u otros activadores de scripts que pueden ser detectados y bloqueados por defecto para reducir el riesgo de los ataques, por lo menos hasta que se conozcan los detalles.
  • Si es necesario un documento Office o también afecta a otras aplicaciones como PDF o reproductores multimedia.
  • Como interviene Internet Explorer en el ataque.

El diagrama de Qihoo muestra un documento que contiene un shellcode, más varios DLLs que aparentemente se escriben en el disco duro cuando se abre el documento, pero Internet Explorer no aparece en el diagrama.

Muchos aspectos secundarios del ataque son mencionados como el truco usado para pasar el Control de Acceso del Usuario, la descarga de un fichero de imagen con el código ejecutable oculto dentro y la ejecución de un código introduciéndose directamente en la memoria sin tener que ser guardado en el disco.

Sin embargo, estos parecen ser detalle de un payload específico del malware desatado por “double kill”, en vez de la propia vulnerabilidad día cero.

¿Qué hacer?

Por el momento no tenemos ejemplos de este ataque, por lo que no podemos ofreceros consejos sobre que buscar o como Internet Explorer participa en el ataque.

Lo único que podemos hacer es reiterar nuestro consejo de seguridad habitual. No abras un documentos que no esperas, incluso si parecen ser urgentes o importantes.

Supuestamente Qihoo ya ha dado todos los detalles a Microsoft, cuando tengamos algo más interesante que añadir os lo haremos saber.

 

 

Para manteneros al día de las últimas amenazas haceros fans de nuestra página de Facebook o síguenos en Twitter para intercambiar experiencias en torno al mundo de la seguridad. Si deseas recibir nuestro boletín de seguridad en tu correo electrónico, suscríbete en la siguiente aplicación:

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out /  Change )

Google photo

You are commenting using your Google account. Log Out /  Change )

Twitter picture

You are commenting using your Twitter account. Log Out /  Change )

Facebook photo

You are commenting using your Facebook account. Log Out /  Change )

Connecting to %s

This site uses Akismet to reduce spam. Learn how your comment data is processed.