A pesar de que Microsoft publicó un parche para el fallo de Office denominado CVE-2017-11882 hace dos años, los hackers siguen explotando la vulnerabilidad para entregar troyanos de acceso remoto (RAT).

Diario TI 02/07/20 6:33:03

Así lo revela un nuevo informe de la empresa de seguridad cibernética Menlo Labs, que dice haber observado múltiples campañas separadas, todas dirigidas a la misma vulnerabilidad.

El exploit aprovecha una vulnerabilidad de desbordamiento del búfer del stack en el editor de ecuaciones de Microsoft (una característica que permite a los usuarios incrustar una fórmula matemática en cualquier documento de Office). Debido a la forma en que se compiló y enlazó el ejecutable del Editor de Ecuaciones, no se utilizaron las características de Prevención de Ejecución de Datos (DEP) y Aleatorización del Diseño del Espacio de Direcciones (ASLR).

Según el informe, los ciberdelincuentes están aprovechando diversas plataformas de almacenamiento de seguridad en la nube, entre ellas dropsend.com y OneDrive, para alojar cargas útiles instrumentadas. Los objetivos principales incluyen empresas inmobiliarias, de entretenimiento y bancarias ubicadas principalmente en América del Norte, aunque también ha detectado incidentes en Hong Kong.

Menlo Labs cree que las campañas no están relacionadas entre sí, sobre todo porque la infraestructura no se traslapa y porque cada campaña distribuye un malware diferente.

“El hecho de que CVE-2017-11882 siga siendo explotado no sólo habla de la fiabilidad de la explotación, sino del hecho de que hay empresas que siguen utilizando software desfasado”, escribe Menlo Labs en un comunicado.

“La aplicación de parches a las aplicaciones y sistemas operativos para protegerlos contra los problemas de seguridad es fundamental, pero la escasez de profesionales de seguridad cibernética, combinada con el entorno empresarial en constante cambio, hace que sea más difícil para las empresas poner en marcha un proceso adecuado de gestión de parches”.