Un grupo de especialistas en ciberseguridad ha revelado la detección de múltiples ataques relacionados con la explotación de una antigua falla en Microsoft Office (CVE-2017-11182). Esta falla, corregida en 2017, permite a los actores de amenazas incrustar ecuaciones o fórmulas matemáticas en algunos documentos de Office.
Los investigadores detectaron tres ataques dirigidos contra cinco compañías diferentes, todos relacionados con la falla, encontrada en la función Equation Editor; el objetivo principal de los atacantes era entregar un troyano de acceso remoto en al menos dos computadoras de cada compañía afectada.
Los ataques fueron detectados en Hong Kong y Norteamérica, comprometiendo compañías inmobiliarias, instituciones bancarias y agencias de entretenimiento.
Vinay Pidathala, director de investigación de la firma de seguridad Menlo, mencionó al respecto: “Creemos que estos ataques estaban dirigidos contra usuarios específicos como una forma de tratar de comprometer a actores relevantes dentro de las compañías atacadas”.
El hallazgo refuerza y amplifica el consejo de CISA y el FBI del mes pasado que enumera las 10 vulnerabilidades más explotadas rutinariamente por “actores de amenazas en el extranjero”. Las agencias de inteligencia aseguran que CVE-2017-11882 ocupaba un lugar destacado en esa lista, de hecho, el FBI destaca que Editor Equation es una de las fallas más explotadas por los grupos de hacking patrocinados por gobiernos extranjeros.
“De las 10 principales, las tres vulnerabilidades utilizadas con mayor frecuencia en los ataques de actores patrocinados por estados como China, Irán, Corea del Norte y Rusia son CVE-2017-11882, CVE-2017-0199 y CVE-2012-0158. Tres de estas vulnerabilidades están relacionadas con la tecnología de Microsoft”, menciona la alerta lanzada de forma conjunta por CISA y el FBI.
Ambas agencias pidieron al sector privado que repare las amenazas para ayudar con la seguridad de las redes de E.U., pues “una campaña concertada para reparar estas vulnerabilidades introduciría fricciones en el comercio operativo de los adversarios extranjeros y los obligaría a desarrollar o adquirir exploits que son más costosos y menos efectivos”.
En una tendencia separada, Pidathala señaló que los tres ataques específicos alojaron sus cargas en las plataformas SaaS, incluyendo Microsoft OneDrive.
“A medida que las empresas se están mudando a la nube, están adoptando soluciones de almacenamiento en la nube como Box, Dropbox y OneDrive. Al publicar su malware en estos sitios web, los atacantes pueden hacerlo más creíble. Además, muchos dispositivos de seguridad podrían o puede que no inspeccione el tráfico que proviene de OneDrive, porque es una fuente confiable. Entonces, al alojar sus cargas útiles armadas en estas plataformas populares, es más fácil que estas puedan pasar “, dijo Pidathala.
Trabajando como arquitecto de ciberseguridad, el se enfoca en protección de datos y la seguridad de datos empresariales. Antes de unirse a nosotros, ocupó varios puestos de investigador de ciberseguridad con diferentes empresas. También tiene experiencia en diferentes industrias como finanzas, salud medica y reconocimiento facial.