Una vulnerabilidad de Trident permite la difusión de ransomware, según ha confirmado Microsoft, a través de documentos de Office maliciosos
Las vulnerabilidades de un hardware/software pueden poner en serios aprietos a los usuarios, sobre todo si los ciberdelincuentes están al corriente de ellas. En los últimos tiempos estamos siendo testigos de casos muy serios, algunos de ellos afectando directamente a Microsoft. El gigante de Redmond lleva tiempo trabajando para poner fin a vulnerabilidades encontradas en sus productos, como por ejemplo Microsoft Office. A principios de este mes, la compañía reveló el descubrimiento de una vulnerabilidad nueva relacionada con la ejecución remota de código del motor de renderizado de Internet Explorer. Dicho motor, como bien sabéis, se llama MSHTML, o Trident. Si bien la vulnerabilidad ya se conoce desde hace unas semanas, no está siendo hasta ahora cuando se está haciendo uso de ella. Concretamente mediante el uso de documentos de Office maliciosos. Una vulnerabilidad de Trident permite la difusión de ransomware.
Según Microsoft, los ciberatacantes están haciendo uso de documentos de Office con un payload incluido que, al abrirse, se ejecuta de forma automática. Por desgracia, una vez abierto el documento el usuario afectado no puede parar la ejecución del payload (la acción de abrir es el detonante). Estos documentos, al contrario que otros potencialmente peligrosos, no incluyen una marca que los identifique como procedentes de fuentes poco fiables. Así pues, el confiado usuario lo abre y cae en la trampa. En palabras de Microsoft, el ciberatacante puede crear un control ActiveX de tipo malicioso y así usarlo para ejecutar el ataque. En principio, deshabilitar la instalación de controles ActiveX en el navegador podría parar el ataque. Este problema afecta especialmente a los usuarios de Windows que configuraron «derechos de administrador». Esta vulnerabilidad está yendo a más tras haber salido a la luz
Aprovechando la vulnerabilidad para ejecutar ataques ransomware
Los analistas de Microsoft han puesto en marcha una investigación, descubriendo que esta vulnerabilidad estaña siendo aprovechada para acceder a redes corporativas. Para ello se está haciendo uso de balizas de la herramienta de pentesting Cobalt Strike. Una de las balizas estaba comunicada con grupos de ransomware. Es más, desde ESET, empresa de seguridad informática, revelan que parte de la infraestructura usada para infectar se había empleado antes para descargar payloads de Trickbot o BazaLoader. En relación a la fecha de inicio de la explotación de la vulnerabilidad, esta empezó el 18 de agosto. Evidentemente, al darse a conocer esta vulnerabilidad se incrementaron los intentos de ciberataque. De nuevo, habrá que esperar hasta que el gigante de Redmond encuentre la solución que ponga fin a este grave problema de vulnerabilidad. Evitar estas situaciones no es tarea sencilla, sobre todo cuando los ciberdelincuentes están siendo más incisivos.
