Global Preloader
Noticia Internacional
(10/Nov/2017) Fancy Bear, grupo de hacking que está distribuyendo malware a través de una vulnerabilidad de Office

Fancy Bear, grupo de hacking que está distribuyendo malware a través de una vulnerabilidad de Office

Microsoft Dynamic Data Exchange (DDE) es una función muy antigua, actualmente sustituida por los elementos OLE, pero aún disponible en las diferentes aplicaciones de Office, cuya finalidad es permitir a las aplicaciones de Office cargar datos desde otras aplicaciones, como, por ejemplo, una tabla de Excel dentro de un documento de Word. A pesar de que expertos de seguridad han reportado este fallo a Microsoft, la compañía se niega a considerarlo “fallo” y no pretende solucionarlo, lo que ha animado a hackers a aprovecharse de él.

Poco después de descubrir este fallo que permite ejecutar código en el sistema sin necesidad de usar macros, algunos atacantes empezaron a intentar explotar este fallo de seguridad y distribuir malware entre los usuarios.

A pesar de que en varias ocasiones se ha demostrado esta vulnerabilidad, incluso que se han facilitado a Microsoft exploits que se aprovechan de ella, la compañía se niega a solucionarla. Al ser una vulnerabilidad real, y mucho más fácil de explotar que a través de las conocidas macros de Office, varios grupos de hackers la están explotando de forma masiva por la red, siendo “Fancy Bear“, un peligroso grupo de hackers rusos, uno de los últimos en empezar a aprovecharse de ella.

Los integrantes del grupo Fancy Bear han comenzado una campaña de phishing a nivel mundial, aunque con principal objetivo Estados Unidos, cuya principal finalidad es distribuir malware utilizando esta técnica. Para ello, los atacantes están distribuyendo una serie de documentos maliciosos a través del correo electrónico y de distintas páginas web, llamados SabreGuard2017.docx o IsisAttackInNewYork.docx, los cuales, al abrirlos, ejecutará código malicioso a través de la vulnerabilidad DDE sin que el sistema lo bloquee ni detecte.

Este documento esconde en su interior un script PowerShell que se encarga de ejecutar todo lo necesario, y desactivar las medidas de seguridad del sistema, para descargar e instalar el malware Seduploader, el cual envía a los hackers información básica sobre el sistema, información que, si les interesa, se utiliza para llevar a cabo un ataque mayor.

Microsoft no tiene intenciones de solucionar esta vulnerabilidad ya que, haciendo alusión a la conocida frase “it’s not a bug, it’s a feature”, para Microsoft es una característica más que un fallo de seguridad.

Por suerte, existen formas de protegerse de este fallo de seguridad y evitar que estos documentos maliciosos puedan poner en peligro nuestros sistemas. Una de las formas de protegerse es desactivar manualmente el soporte para DDE de manera que, aunque se ejecute un documento malintencionado este no ponga en peligro nuestros sistemas.

Otra de las formas de protegerse de este fallo de seguridad es recurriendo a la aplicación 0Patch, la cual ha lanzado un parche específico para mitigar la vulnerabilidad DDE.