Microsoft ha revelado hoy un fallo de seguridad de día cero no parcheado en varios productos Windows y Office que ha sido explotado para conseguir la ejecución remota de código a través de documentos de Office maliciosos. La empresa afirma que el fallo CVE-2023-36884 fue explotado en ataques recientes dirigidos a organizaciones que asistían a la Cumbre de la OTAN en Vilnius (Lituania). Vínculos de #RomCom con el ransomware. RomCom es un grupo de ciberdelincuentes con sede en Rusia (también conocido como Storm-0978) | Traducido en #1
#2 Cuando empiecen a salir los misiles la culpa la tendremos nosotros, somos más, y más fuertes que ellos, pero solo agachamos la cabeza ante los que prefieren un poco de dinero a vivir en paz-
Microsoft: Un día cero de Office sin parches explotado en ataques a la cumbre de la OTAN
Microsoft ha revelado hoy un fallo de seguridad de día cero no parcheado en varios productos Windows y Office que ha sido explotado para conseguir la ejecución remota de código a través de documentos de Office maliciosos.
Los atacantes no autentificados pueden explotar la vulnerabilidad (rastreada como CVE-2023-36884) en ataques de alta complejidad sin requerir la interacción del usuario.
Una explotación exitosa podría conducir a una pérdida total de confidencialidad, disponibilidad e integridad, permitiendo a los atacantes acceder a información sensible, desactivar la protección del sistema y denegar el acceso al sistema comprometido.
"Microsoft está investigando los informes de una serie de vulnerabilidades de ejecución remota de código que afectan a los productos Windows y Office. Microsoft es consciente de la existencia de ataques dirigidos que intentan explotar estas vulnerabilidades mediante el uso de documentos de Microsoft Office especialmente diseñados", han declarado hoy los de Redmond.
"Un atacante podría crear un documento de Microsoft Office especialmente diseñado que le permitiera realizar la ejecución remota de código en el contexto de la víctima. Sin embargo, el atacante tendría que convencer a la víctima para que abriera el archivo malicioso."
Aunque aún no se ha solucionado el fallo, Microsoft afirma que proporcionará a los clientes parches a través del proceso de publicación mensual o de una actualización de seguridad fuera de banda.
Medidas de mitigación disponibles
Explotado en ataques dirigidos a asistentes a la Cumbre de la OTAN
En otra entrada del blog, la empresa afirma que el fallo CVE-2023-36884 fue explotado en ataques recientes dirigidos a organizaciones que asistían a la Cumbre de la OTAN en Vilnius (Lituania).
Como se documenta en los informes publicados por el Equipo de Respuesta a Emergencias Informáticas de Ucrania (CERT-UA) y los investigadores del equipo de inteligencia de BlackBerry, los atacantes utilizaron documentos maliciosos haciéndose pasar por la organización del Congreso Mundial de Ucrania para instalar cargas útiles de malware, incluyendo el cargador MagicSpell y la puerta trasera RomCom.
"Si se explota con éxito, permite a un atacante llevar a cabo un ataque basado en la ejecución remota de código (RCE) a través de la elaboración de un documento .docx o .rtf malicioso diseñado para explotar la vulnerabilidad", dijeron los investigadores de seguridad de BlackBerry.
"Esto se logra aprovechando el documento especialmente diseñado para ejecutar una versión vulnerable de MSDT, que a su vez permite a un atacante pasar un comando a la utilidad para su ejecución".
"La última campaña del actor detectada en junio de 2023 implicaba el abuso de CVE-2023-36884 para entregar un backdoor con similitudes a RomCom", dijo también Microsoft el martes.
Vínculos de RomCom con el ransomware
RomCom es un grupo de ciberdelincuentes con sede en Rusia (también conocido como Storm-0978) conocido por sus ataques de ransomware y extorsión, junto con campañas centradas en el robo de credenciales, probablemente destinadas a apoyar operaciones de inteligencia, según Redmond.
La banda estaba anteriormente vinculada a la operación de ransomware Industrial Spy, que ahora ha cambiado a un ransomware llamado Underground [VirusTotal].
Comentarios
#4 Cierto es.
El correo malicioso con un adjuto de Office que recibí ayer igual esta relacionado con esta campaña.
Cuando empiecen a salir los misiles nucleares, ya sabemos a quien culpar, a Bill Gates
#2 Cuando empiecen a salir los misiles la culpa la tendremos nosotros, somos más, y más fuertes que ellos, pero solo agachamos la cabeza ante los que prefieren un poco de dinero a vivir en paz-
#3 Cuando empiezen a salir los milises no tendremos tiempo ni de culpabilizarnos.
#2 ya tienen que tener desactualizados los programas como para responsabilizar a Bill Gates
Microsoft: Un día cero de Office sin parches explotado en ataques a la cumbre de la OTAN
Microsoft ha revelado hoy un fallo de seguridad de día cero no parcheado en varios productos Windows y Office que ha sido explotado para conseguir la ejecución remota de código a través de documentos de Office maliciosos.
Los atacantes no autentificados pueden explotar la vulnerabilidad (rastreada como CVE-2023-36884) en ataques de alta complejidad sin requerir la interacción del usuario.
Una explotación exitosa podría conducir a una pérdida total de confidencialidad, disponibilidad e integridad, permitiendo a los atacantes acceder a información sensible, desactivar la protección del sistema y denegar el acceso al sistema comprometido.
"Microsoft está investigando los informes de una serie de vulnerabilidades de ejecución remota de código que afectan a los productos Windows y Office. Microsoft es consciente de la existencia de ataques dirigidos que intentan explotar estas vulnerabilidades mediante el uso de documentos de Microsoft Office especialmente diseñados", han declarado hoy los de Redmond.
"Un atacante podría crear un documento de Microsoft Office especialmente diseñado que le permitiera realizar la ejecución remota de código en el contexto de la víctima. Sin embargo, el atacante tendría que convencer a la víctima para que abriera el archivo malicioso."
Aunque aún no se ha solucionado el fallo, Microsoft afirma que proporcionará a los clientes parches a través del proceso de publicación mensual o de una actualización de seguridad fuera de banda.
Medidas de mitigación disponibles
Explotado en ataques dirigidos a asistentes a la Cumbre de la OTAN
En otra entrada del blog, la empresa afirma que el fallo CVE-2023-36884 fue explotado en ataques recientes dirigidos a organizaciones que asistían a la Cumbre de la OTAN en Vilnius (Lituania).
Como se documenta en los informes publicados por el Equipo de Respuesta a Emergencias Informáticas de Ucrania (CERT-UA) y los investigadores del equipo de inteligencia de BlackBerry, los atacantes utilizaron documentos maliciosos haciéndose pasar por la organización del Congreso Mundial de Ucrania para instalar cargas útiles de malware, incluyendo el cargador MagicSpell y la puerta trasera RomCom.
"Si se explota con éxito, permite a un atacante llevar a cabo un ataque basado en la ejecución remota de código (RCE) a través de la elaboración de un documento .docx o .rtf malicioso diseñado para explotar la vulnerabilidad", dijeron los investigadores de seguridad de BlackBerry.
"Esto se logra aprovechando el documento especialmente diseñado para ejecutar una versión vulnerable de MSDT, que a su vez permite a un atacante pasar un comando a la utilidad para su ejecución".
"La última campaña del actor detectada en junio de 2023 implicaba el abuso de CVE-2023-36884 para entregar un backdoor con similitudes a RomCom", dijo también Microsoft el martes.
Vínculos de RomCom con el ransomware
RomCom es un grupo de ciberdelincuentes con sede en Rusia (también conocido como Storm-0978) conocido por sus ataques de ransomware y extorsión, junto con campañas centradas en el robo de credenciales, probablemente destinadas a apoyar operaciones de inteligencia, según Redmond.
La banda estaba anteriormente vinculada a la operación de ransomware Industrial Spy, que ahora ha cambiado a un ransomware llamado Underground [VirusTotal].