¿Te acuerdas del editor de ecuaciones de Microsoft? Fue escrito en el año 2000, antes del famoso correo electrónico de “Trustworthy Computing” de 2002 de Bill Gates.
Ese correo electrónico fue un mensaje para que todos en Microsoft comenzaran a escribir software con la seguridad en mente desde el principio, en vez de que fuera simplemente una idea al último momento.
En otras palabras, el editor de ecuaciones es anterior a DEP, abreviatura de prevención de ejecución de datos (Data Execution Prevention), y ASLR, abreviatura de asignación aleatoria de espacio de direcciones (Address Space Layout Randomisation).
Estas dos técnicas, por si solas han hecho que, errores como el desbordamiento de búfer, sean mucho más difíciles de explotar.
DEP significa que los blobs de datos ya no pueden ejecutarse directamente como si fueran programas, por lo que los ciberatacantes deben intentar desviar el flujo de ejecución hacia un software que el sistema operativo ya ha cargado.
Eso significa que los ciberdelincuentes tienen que predecir de antemano dónde cargará Windows su código de sistema para realizar conexiones de red, abrir archivos, editar el registro, etc.
Pero ASLR le dice a Windows que elija diferentes ubicaciones de memoria para sus funciones de sistema cada vez que inicie, por lo que los estafadores no pueden predecir, o incluso adivinar de manera fiable, dónde ir después de un desbordamiento de búfer.
Desafortunadamente, a pesar de que Microsoft Office había reforzado su seguridad en 2010, el editor de ecuaciones, también conocido como EQNEDT32.EXE, no lo hizo.
En otras palabras, las aplicaciones de Office que de otra manera serían seguras (incluido, como sucedió, el editor de documentos de WordPad simplificado) podrían ser engañadas para lanzar un subproceso inseguro simplemente insertando una ecuación matemática en un documento y diciendo: “Este bit necesita el editor de ecuaciones”.
Una manzana podrida, como dicen, echa a perder el cesto.
Afortunadamente, se necesitaron 17 años para que alguien descubriera este fallo, hasta finales de 2017, cuando aparecieron las vulnerabilidades basadas en el abuso de EQNEDT32.EXE.
Microsoft solucionó rápidamente el error, que denominó CVE-2017-11882 (y ofreció instrucciones sobre cómo desactivar el editor de ecuaciones para aquellos que dudaban en aplicar las actualizaciones del martes de parches de noviembre de 2017), y eso debería haber sido todo.
Sin embargo, no lo fue.
Casi un año después de la publicación del parche, el investigador de SophosLabs, Gabor Szappanos, lamentó que CVE-2017-11882 se haya convertido en la herramienta de ataque basada en documentos más popular en la Dark Web.
Las herramientas como el generador de exploits de NebulaOne hicieron que incluso los ciberdelincuentes sin conocimientos técnicos les resultara más fácil producir malware que se activara con el problemático programa EQNEDT32.EXE.
A diferencia de las macros de Office, que son programas incrustados en documentos que tienen que aprobarse antes de ejecutarse, las ecuaciones con trampas pueden explotar el error CVE-2017-11882 sin que aparezca ningún cuadro de diálogo de advertencia.
Lamentablemente, el error del editor de ecuaciones todavía parece que no tiene parches, hasta el punto de que la propia Microsoft ha advertido de “un aumento de la actividad en las últimas semanas”:
The CVE-2017-11882 vulnerability was fixed in 2017, but to this day, we still observe the exploit in attacks. Notably, we saw increased activity in the past few weeks. We strongly recommend applying security updates.
— Microsoft Threat Intelligence (@MsftSecIntel) June 7, 2019
También hemos visto un aumento similar, en SophosLab,s recibiendo correos electrónicos como este, que intentan engañarnos para que abriésemos un archivo adjunto con trampas explosivas:
En el ejemplo anterior, recuerde que las líneas de asunto, el contenido del correo electrónico y los nombres de los archivos cambian constantemente, el archivo adjunto es un archivo RAR que contiene un archivo .doc.
Irónicamente, al archivo RAR se le ha dado el nombre de un formato de archivo diferente, .gz (abreviatura de Gzip), y el archivo .doc en realidad está en formato de texto enriquecido (RTF), pero la combinación es efectiva.
Los productos de Sophos bloquean este tipo de archivos como Troj / RTFExp-EP, donde RTFExp es la abreviatura para el exploit de formato de texto enriquecido.)
Las herramientas de extracción de archivos normalmente podrán abrir cualquier archivo que tenga una extensión relacionada con el archivo, incluso si tiene un nombre incorrecto, y descubrir qué algoritmo de descompresión se debe usar al hacer clic en él.
Del mismo modo, Office y WordPad abrirán los archivos .doc basándose en su nombre y los reconocerán automáticamente como archivos RTF si es necesario.
En pocas palabras, los archivos RTF no necesitan una extensión .RTF, y los archivos RAR no tienen que llamarse .RAR: los programas que los manejan se encargan del cómo una vez que hayan decidido el qué.
Dado que CVE-2017-11882 puede ser explotado para engañar a EQNEDT32.EXE para que haga casi cualquier cosa, los ladrones pueden alterar los detalles de lo que sucede a continuación tan fácilmente como pueden cambiar el asunto del correo electrónico o el nombre del archivo adjunto.
En el ejemplo anterior, el archivo adjunto con trampa explosiva utilizó EQNEDT32.EXE para intentar descargar y ejecutar un programa de Windows, al que se le dio un nombre que consiste en una cadena de dígitos al azar seguida de .EXE.
El sitio utilizado para albergar el malware descargado parece ser el sitio web de un usuario doméstico mal configurado en Polonia (tanto el sitio como la descarga fueron bloqueados por los productos de Sophos).
¿Qué hacer?
- No te saltes los parches. Ya sea por accidente o diseño, es fácil perderse un parche y nunca volver a comprobar si realmente se está actualizado. ¡No le hagas la vida fácil a los ciberdelincuentes dejando una puerta abierta que podrías haber cerrado hace 18 meses!
- Utiliza un antivirus en tiempo real. Actualmente, muchos equipos vienen con software de seguridad incorporado, pero la ciberseguridad pre-configurada se debe tratar como una capa básica que se usa para mantenerte al tanto hasta que puedas aplicar una defensa en profundidad.
- Filtra tu correo electrónico. No se debe buscar solo malware conocido, lleva tu seguridad un paso más allá. Por ejemplo, si rara vez o nunca usa archivos RAR, o si prefiere archivos PDF a RTF, bloquee los tipos de archivos que no necesites y terminarás con menos de lo que preocuparte.
- Mantén un registro de tus sitios web. No habilites servicios en línea ni crees cuentas en línea solo porque son gratis con tu contrato de acceso a Internet. Los ciberdelincuentes se harán cargo de las cuentas olvidadas o descuidadas, dejándote a ti mismo con la culpa de ayudarles en los siguientes ataques.
Agradecemos la ayuda de Graham Chantry de SophosLabs por su ayuda en la redacción de este artículo.
Para manteneros al día de las últimas amenazas haceros fans de nuestra página de Facebook o síguenos en Twitter para intercambiar experiencias en torno al mundo de la seguridad. Si deseas recibir nuestro boletín de seguridad en tu correo electrónico, suscríbete en la siguiente aplicación:
Miguel
Este resultado de la ecuación me lleva a hacer una máquina del tiempo o me indica como viajar en el tiempo?