Una vulnerabilidad de Trident permite la difusión de ransomware

Share on facebook
Share on twitter
Share on linkedin
Share on pinterest
Share on whatsapp
Share on telegram
Share on email

Una vulnerabilidad de Trident permite la difusión de ransomware, según ha confirmado Microsoft, a través de documentos de Office maliciosos

Las vulnerabilidades de un hardware/software pueden poner en serios aprietos a los usuarios, sobre todo si los ciberdelincuentes están al corriente de ellas. En los últimos tiempos estamos siendo testigos de casos muy serios, algunos de ellos afectando directamente a Microsoft. El gigante de Redmond lleva tiempo trabajando para poner fin a vulnerabilidades encontradas en sus productos, como por ejemplo Microsoft Office. A principios de este mes, la compañía reveló el descubrimiento de una vulnerabilidad nueva relacionada con la ejecución remota de código del motor de renderizado de Internet Explorer. Dicho motor, como bien sabéis, se llama MSHTML, o Trident. Si bien la vulnerabilidad ya se conoce desde hace unas semanas, no está siendo hasta ahora cuando se está haciendo uso de ella. Concretamente mediante el uso de documentos de Office maliciosos.  Una vulnerabilidad de Trident permite la difusión de ransomware.

Una vulnerabilidad de Trident permite la difusión de ransomware

Según Microsoft, los ciberatacantes están haciendo uso de documentos de Office con un payload incluido que, al abrirse, se ejecuta de forma automática. Por desgracia, una vez abierto el documento el usuario afectado no puede parar la ejecución del payload (la acción de abrir es el detonante). Estos documentos, al contrario que otros potencialmente peligrosos, no incluyen una marca que los identifique como procedentes de fuentes poco fiables. Así pues, el confiado usuario lo abre y cae en la trampa. En palabras de Microsoft, el ciberatacante puede crear un control ActiveX de tipo malicioso y así usarlo para ejecutar el ataque. En principio, deshabilitar la instalación de controles ActiveX en el navegador podría parar el ataque. Este problema afecta especialmente a los usuarios de Windows que configuraron «derechos de administrador». Esta vulnerabilidad está yendo a más tras haber salido a la luz

Aprovechando la vulnerabilidad para ejecutar ataques ransomware

Los analistas de Microsoft han puesto en marcha una investigación, descubriendo que esta vulnerabilidad estaña siendo aprovechada para acceder a redes corporativas. Para ello se está haciendo uso de balizas de la herramienta de pentesting Cobalt Strike. Una de las balizas estaba comunicada con grupos de ransomware. Es más, desde ESET, empresa de seguridad informática, revelan que parte de la infraestructura usada para infectar se había empleado antes para descargar payloads de Trickbot o BazaLoader. En relación a la fecha de inicio de la explotación de la vulnerabilidad, esta empezó el 18 de agosto. Evidentemente, al darse a conocer esta vulnerabilidad se incrementaron los intentos de ciberataque. De nuevo, habrá que esperar hasta que el gigante de Redmond encuentre la solución que ponga fin a este grave problema de vulnerabilidad. Evitar estas situaciones no es tarea sencilla, sobre todo cuando los ciberdelincuentes están siendo más incisivos.

Share on facebook
Share on twitter
Share on linkedin
Share on pinterest
Share on whatsapp
Share on telegram
Share on email

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.

TE PUEDE GUSTAR

RECIBE LA NEWSLETTER

*Email: *Nombre apellidos: *Empresa: Cargo: Sector:

 
Please don't insert text in the box below!

ARTÍCULOS MÁS RECIENTES

ESCUCHA NUESTRO PODCAST

SÍGUENOS EN RRSS

MÁS COMENTADOS

Ir arriba