Se ha descubierto un error
de "double kill" en Internet Explorer que, según dijo, ya está siendo
utilizado por posibles grupos de hacking del estado.
Una firma china de seguridad cibernética ha encontrado un exploit de día cero en Internet Explorer que ya se está utilizando para infectar máquinas a través de documentos maliciosos de Microsoft Office.
Una firma china de seguridad cibernética ha encontrado un exploit de día cero en Internet Explorer que ya se está utilizando para infectar máquinas a través de documentos maliciosos de Microsoft Office.
Microsoft aún tiene que emitir una respuesta al descubrimiento, y hasta que remueva la vulnerabilidad, los usuarios de IE deben tener especial cuidado de no abrir archivos adjuntos de Office de fuentes desconocidas.
La compañía china de seguridad cibernética Qihoo 360 descubrió un nuevo exploit de día cero de Microsoft Internet Explorer que dice que ya se está utilizando en la naturaleza.
El Qihoo's 360 Security Center dijo que el día cero, que llama "double kill" debido a que apunta a Internet Explorer y cualquier otra aplicación que use IE kernel, ya está siendo utilizado por una amenaza persistente avanzada (APT), que a menudo son gubernamentales.
El día cero requiere que una posible víctima abra un documento malicioso de Microsoft Office que contenga un enlace a un sitio web diseñado para entregar una carga útil de malware, que es una forma común para que los atacantes infecten a las víctimas.Una vez que alguien se infecta, dijo Qihoo 360, los atacantes pueden instalar troyanos de puerta trasera o incluso obtener control total sobre la máquina.
Detalles de ataque
El informe de Qihoo 360 es escaso en detalles: no dice cuál es el verdadero ataque de día cero y no menciona el software en particular que se está entregando. Tampoco revela qué "actor conocido de APT" o patrocinadores del estado-nación pueden estar detrás del ataque, dejando muchas preguntas sin respuesta.
Lo que Qihoo 360 menciona es cómo funciona realmente el ataque: un documento malicioso de Microsoft Office, cuando se abre, se conecta a un servidor remoto y descarga e instala en silencio el código de explotación y las cargas maliciosas.
Las últimas fases del ataque usan una técnica de desvío de control de cuenta de usuario (UAC) pública, esteganografía de archivo, carga de reflexión de memoria y ejecución sin archivos. Es una amenaza avanzada, y Microsoft aún tiene que emitir una respuesta formal.
Qihoo 360 dijo que está promoviendo urgentemente el lanzamiento de un parche, pero hasta que Microsoft reconozca la explotación a través de algo más que una respuesta preestablecida, los usuarios y los profesionales de seguridad deben tomar medidas para evitar la infección:
Nunca abra un archivo adjunto de Microsoft Office desde una fuente desconocida. Mejor aún, insista en que los compañeros de trabajo, clientes y colaboradores compartan documentos a través de un servicio en la nube como Google Cloud o OneDrive.
Asegúrese de que todas las máquinas con Windows tengan instalado un software antivirus actualizado. Algunas amenazas pueden pasarse por alto sin eso.
Siga los consejos de Microsoft y deje de usar Internet Explorer. Microsoft dijo que su nuevo navegador Edge es más seguro; Los equipos de TI deben usar la política de grupo para obligar a los usuarios que no desean dejar de usar IE a un navegador mejor y más seguro.
Mantenga todos los sistemas actualizados con los últimos parches de seguridad. Las
máquinas desactualizadas son especialmente vulnerables al ataque, como
hemos visto en el pasado con brotes como WannaCry, que usaba una
vulnerabilidad de Windows que había sido reparada meses antes de su
propagación.
Fuente: https://www.techrepublic.com/
0 Comentarios