Cómo protegerte de la vulnerabilidad Follian de Día Cero que afecta a los archivos del tipo Word o de Microsoft Office.
Con los actuales esquemas de trabajo híbrido, muchas empresas son más vulnerables a ciberataques.
Forcepoint, compañía líder en ciberseguridad de protección de datos y usuarios anunció los resultados en sus laboratorios del análisis realizado a la nueva vulnerabilidad Día Cero, denominada Follian, que se aprovecha del protocolo URL de Microsoft Support Diagnostic Tool (MSDT) que permite ejecutar código malicioso de forma remota a través de la suite de Microsoft Office.
En fechas recientes un grupo de investigación de ciberseguridad llamado Nao_sec descubrió un documento Word cargado en un sitio web originario de Bielorrusia con el que se aprovecha la función de vínculo externo de Word para cargar un HTML y usar el esquema de Microsoft Support Diagnostic (MSDT) para ejecutar el código malicioso en PowerShell.
Con esta combinación los ciber atacantes sortean la detección de Windows defender y ejecutan una serie de instrucciones y tareas de forma automática infectando el equipo.
La manera en la que funciona es de llamar nuestra atención pues el malware es capaz de ejecutarse en el momento de abrir el documento, incluso cuando el usuario tiene deshabilitado el uso de macros, que suelen ser la principal vía de entrada de malware. La mayor preocupación es que algunas soluciones de Antimalware aún generan falsos positivos al intentar identificar este tipo de infección.
“En Forcepoint realizamos ingeniería inversa del malware e hicimos un análisis inicial, en el cuál utilizamos la solución de CDR (Content Disarm and Reconstruct) componente estratégico de nuestra visión Zero Trust, comentó Jorge Cisneros Consultor especialista de Ingeniería para Forcepoint México. “Para nosotros como compañía resulta esencial comunicar este tipo de análisis y descubrimientos para prevenir a nuestros clientes y que puedan crear entornos seguros y confiables para sus empleados”. Agregó.
A continuación, la empresa Forcepoint muestra los detalles del análisis en los laboratorios, así como la manera en que se presenta este virus malicioso y como Zero Trust CDR previenen del ataque:
1.- Aquí hay un usuario abriendo el documento.
2.- Aquí es donde DOCX contacta al servidor para el archivo HTML. El servidor web sirve una página HTML vinculada con el exploit.
3.- El documento obtiene la página HTML y la abre con permisos. Luego abre la aplicación de la calculadora a través de un widget ms-msdt dentro de la página HTML que se sirve localmente. Nuevamente, este código ha sido redactado para evitar oportunidades para los atacantes.
Al realizar el análisis utilizando la solución de Forcepoint CDR, este archivo con sus elementos inválidos es legítimamente bloqueado debido a su comportamiento malicioso, obteniendo los mismos resultados en todos los productos que cuentan con integración con la solución de Zero Trust CDR.
Considerando el panorama actual de miles de organizaciones operando en un esquema híbrido, el resguardo de la información resulta vital con herramientas de Zero Trust. Se ha demostrado que el tratamiento y comportamiento de la protección de los datos mientras se comparten continuamente entre estaciones de trabajo, dispositivos móviles, servidores de aplicaciones, bases de datos, aplicaciones SaaS, entre otros, el riesgo resulta mucho menor, tanto en redes corporativas como públicas.
Recomendaciones para la prevención de ataques
· Actualizar siempre el software.
· Evitar dar clic en vínculos sospechosos en mensajes de correo electrónico.
· No abrir correos de dudosa procedencia o de remitente sospechoso.
· Evitar realizar clic en publicidad y anuncios relacionados con temas candentes como futbol y política, entre otros.
· Limitar la información personal que se comparte en internet.
· Fortalecer la creación de contraseñas que incluyan varios caracteres y el uso de mayúsculas, minúsculas y signos de puntuación.
· Bloquear mensajes emergentes.
· De preferencia utilizar navegadores de forma privada.
· Deshabilitar cookies de terceros que no sean sitios de confianza.
· Activar actualizaciones automáticas.
· Tener un software de seguridad confiable (antimalware).
Por lo que podemos asegurar que aquellas empresas resguardadas por Zero Trust CDR corren menor riesgo de incurrir en una vulnerabilidad Zero-Day a aquellas que aún no han generado un entorno de protección en ciberseguridad. De acuerdo con la investigación por parte de nuestros laboratorios Forcepoint no ha tenido que enviar una actualización adicional al motor central para abordar esta vulnerabilidad.
A diferencia de ZT CDR, muchas soluciones de prevención de malware a menudo se pueden implementar en entornos donde se debe minimizar el tiempo de inactividad y se deben limitar las actualizaciones. ZT CDR garantiza que los requisitos de tiempo de actividad se puedan cumplir sin sacrificar la postura de seguridad.
El motor Zero Trust CDR garantiza que el negocio en cuestión esté a salvo de amenazas conocidas y desconocidas, ataques de día cero y malware.Siempre entregando contenido seguro y funcional para que los usuarios puedan tener total confianza en los archivos que reciben desde fuera de su organización.
Es así como las plataformas de ciberseguridad, sobre todo en la nube, simplifican la seguridad tanto de las fuerzas de trabajo tradicionales como de las remotas, lo que permite a los usuarios obtener un acceso seguro y controlado de la información empresarial en la web, en la nube y en aplicaciones privadas evitando a toda costa ser presas de este tipo de malware.
Fuente:
