Fancy Bear, los piratas que están distribuyendo malware a través de la vulnerabilidad DDE de Office

Share this…

Microsoft Dynamic Data Exchange (DDE) es una función muy antigua, actualmente sustituida por los elementos OLE, pero aún disponible en las diferentes aplicaciones de Office, cuya finalidad es permitir a las aplicaciones de Office cargar datos desde otras aplicaciones, como, por ejemplo, una tabla de Excel dentro de un documento de Word. A pesar de que expertos de seguridad han reportado este fallo a Microsoft, la compañía se niega a considerarlo “fallo” y no pretende solucionarlo, lo que ha animado a piratas informáticos a aprovecharse de él.

Poco después de descubrir este fallo que nos permite ejecutar código en el sistema sin necesidad de usar macros, algunos piratas informáticos empezaron a intentar explotar este fallo de seguridad y distribuir malware entre los usuarios.

A pesar de que en varias ocasiones se ha demostrado esta vulnerabilidad, incluso que se han facilitado a Microsoft exploits que se aprovechan de ella, la compañía se niega a solucionarla. Al ser una vulnerabilidad real, y mucho más fácil de explotar que a través de las conocidas macros de Office, varios grupos de piratas informáticos la están explotando de forma masiva por la red, siendo “Fancy Bear“, un peligroso grupo de piratas informáticos rusos, uno de los últimos en empezar a aprovecharse de ella.

Los piratas informáticos rusos del grupo Fancy Bear han comenzado una campaña de phishing a nivel mundial, aunque con principal objetivo Estados Unidos, cuya principal finalidad es distribuir malware utilizando esta técnica. Para ello, los piratas están distribuyendo una serie de documentos maliciosos a través del correo electrónico y de distintas páginas web, llamados SabreGuard2017.docx o IsisAttackInNewYork.docx, los cuales, al abrirlos, ejecutará código malicioso a través de la vulnerabilidad DDE sin que el sistema lo bloquee ni detecte.

Ataques DDE Word Office

Este documento esconde en su interior un script PowerShell que se encarga de ejecutar todo lo necesario, y desactivar las medidas de seguridad del sistema, para descargar e instalar el malware Seduploader, el cual envía a los piratas información básica sobre el sistema, información que, si les interesa a estos piratas, se utiliza para llevar a cabo un ataque mayor.

Cómo protegernos de la vulnerabilidad DDE

Como hemos dicho, Microsoft no tiene intenciones de solucionar esta vulnerabilidad ya que, haciendo alusión a la conocida frase “it’s not a bug, it’s a feature”, para Microsoft es una característica más que un fallo de seguridad.

Por suerte, existen formas de protegernos a nosotros mismos de este fallo de seguridad y evitar que estos documentos maliciosos puedan poner en peligro nuestro sistema. Una de las formas de protegernos es desactivar manualmente el soporte para DDE como nos explican los compañeros de RedesZone de manera que, aunque ejecutemos un documentos malintencionado este no ponga en peligro nuestro sistema.

Otra de las formas de protegernos de este fallo de seguridad es recurriendo a la aplicación 0Patch, la cual ha lanzado un parche específico para protegernos de la vulnerabilidad DDE.

Igual que siempre, extremar las precauciones a la hora de descargar documentos del correo y de Internet es vital para evitar que tanto estos piratas rusos, como cualquier otro pirata informático, pueda poner en peligro nuestras conexiones.

Fuente:https://www.softzone.es/2017/11/09/piratas-informaticos-rusos-explotan-dde/