Debate Últimas cargas de malware - Las macros de Microsoft Office

Se nos recordó que cuando se trata de la entrega de malware, los actores de amenazas tienden a preferir métodos probados.

Un resumen reciente de Cofense Intelligence incluyó un desglose de los cargadores de malware analizados por volumen para el mes de agosto de 2018. Descubrió que los documentos de Microsoft Office que contenían macros maliciosas representaban el 45% de todas las entregas. El segundo método más popular (que representa el 37% de los casos), implicó la explotación de CVE-2017-11882, una vulnerabilidad de daños en la memoria de Microsoft Office.

Las personas y las empresas deben centrarse en soluciones prácticas que reduzcan su superficie de ataque ...[/SIZE][/FONT]

Entrega de malware a través de macros: lo básico
Desde la entrada de datos de Excel hasta el llenado de campos en formularios basados en Word, las macros están destinadas a eliminar el burro de los procesos de rutina.

Escrita en Visual Basic para Aplicaciones (VBA), una macro es un programa que puede automatizar un conjunto de operaciones múltiples para que puedan realizarse con una sola pulsación de tecla. Es una idea simple: básicamente "graba" su procedimiento y luego "reproduce" la macro cada vez que necesita repetir el proceso.

Las capacidades macro han sido parte de la suite Microsoft Office durante décadas. Al principio, estas secuencias de comandos macro estaban habilitadas de forma predeterminada. Pero el problema era que las macros incrustadas en un documento de Word o Excel esencialmente se ejecutarían automáticamente tan pronto como se abriera el documento.

Los distribuidores de malware pronto se dieron cuenta de esto. La configuración significaba que los piratas informáticos podían incorporar malware como macros en documentos de Office. En el escenario clásico de phishing, estos documentos se envían por correo electrónico como archivos adjuntos a los objetivos, junto con una invitación convincente para abrirlos. Simplemente abriendo ese archivo, o presionando un atajo de teclado común, el malware podría ejecutarse.

Microsoft, por supuesto, ha abandonado sabiamente todo el enfoque de "ejecución automática". Por eso, cuando un usuario recibe un documento entrante que tiene macros incrustadas, recibe un mensaje en la parte superior de la página que indica que las macros se han deshabilitado. La única falla con esta protección muy básica (¡y es grande!) Es que solo se necesita un clic del usuario para cancelar el bloqueador y habilitar el script.

¿Quién distribuye malware a través de macros?
La respuesta es, casi todos. La facilidad de configuración y distribución significa que las macros pueden ser fácilmente puestas a trabajar por novatos no sofisticados. Pero los grandes también dependen en gran medida de esta forma de entrega.

Entre los ejemplos notables de los últimos años se incluye el ransomware Locky, que se ha distribuido en gran parte mediante una combinación de correos electrónicos de phishing y archivos adjuntos de Office con macros maliciosas.

El informe de Cofense muestra cómo algunos de los paquetes más dañinos en el panorama actual de amenazas se entregan de esta manera. Esto incluye el ransomware de la "próxima generación", como GrandCrab, así como las últimas encarnaciones de Geodo / Emotet, un destacado troyano bancario.

Protección esencial contra vulnerabilidades de macro / Office ...
Dado que las macros siguen encabezando la lista de métodos de entrega de malware favoritos, la conclusión es clara: una buena higiene (incluida la información y la educación de los usuarios finales) sigue siendo su mejor primera defensa. Presta especial atención a lo siguiente ...
Una prohibición general de las macros. En otras palabras, si su gente no los necesita, desactívelos en todos los documentos entrantes en toda su organización.

Adopte un enfoque personalizado para la habilitación de macros. La verdad es, por supuesto, que, desde el análisis hasta la nómina, el uso de macros es una realidad para la mayoría de las organizaciones. Donde "ir nuclear" en ellos no es una opción, una posición de mezclar y combinar es la siguiente mejor opción. Office 2016 le ofrece algunas opciones útiles para esto …

"Deshabilitar todas las macros con notificación". Accesible a través del menú Archivo, Centro de confianza y luego Configuración de macros, esto le permite al administrador decidir qué macros habilitar según el caso.

"Deshabilitar todas las macros excepto las macros firmadas digitalmente". Nuevamente, esto es accesible a través de la Configuración de Macro. Solo las macros que se originan en un editor certificado activarán una notificación de seguridad para que usted decida si habilitarlas (el resto se deshabilita automáticamente).

Políticas grupales. Desde la pestaña Centro de confianza, abra "Bloquear macros para que no se ejecuten en archivos de Office desde Internet". Con esto, puede optar por desactivar las macros de cualquiera o todos los archivos adjuntos de correo electrónico / documentos de sitios de intercambio de archivos y archivos de proveedores de servicios en la nube (por ejemplo, G Suite y OneDrive).

Manejo de parches. Inmediatamente después de las macros, la explotación de CVE-2017-11882 ocupó el segundo lugar en la lista de métodos de distribución de malware de Cosense. Esto se refiere a una vulnerabilidad específica en el componente del Editor de ecuaciones de Microsoft Office que básicamente permite a los usuarios insertar y editar ecuaciones matemáticas en los documentos.

Tenga en cuenta que el informe fue para agosto de 2018, y el parche para esta vulnerabilidad se implementó en noviembre. Apostar en máquinas sin parches para la entrega de paquetes aún paga grandes dividendos para los ciberdelincuentes, así que asegúrese de no quedar atrapado.