La vulnerabilidad de Trident está siendo aprovechada para difundir ransomware
Los primeros ataques detectados contra usuarios de Windows utilizaron documentos de Office maliciosos.
Microsoft dio la voz de alarma a principios de mes sobre la existencia de una vulnerabilidad de ejecución remota de código vinculada al motor de renderizado de Internet Explorer: MSHTML, también conocido como Trident.
El problema afecta a usuarios que utilizan el sistema operativo Windows, especialmente a los que configuraron derechos de administrador.
Según explicó hace unos días la compañía de Redmond, un atacante puede crear un control ActiveX malicioso y usarlo para emprender un ataque a través de un documento de Office especialmente diseñado para la causa. Así, deshabilitar la instalación de controles ActiveX en el navegador serviría para mitigar el ataque.
Microsoft ya detectó en su momento ataques dirigidos vinculados a esta situación que usaban documentos de Office maliciosos.
Estos archivos que se ofrecen para descarga en internet suelen llevar en Windows una marca que los identifica como procedentes de una fuente poco fiable y que fuerza su apertura a través del modo de vista protegida. Sin embargo, en esta ocasión los documentos no presentaban dicha marca y el payload contenido en el documento Office se ejecuta al abrirse, sin que el usuario tenga que realizar una acción específica extra.
Ahora se conocen algunos detalles más sobre esta vulnerabilidad. Los analistas de seguridad de Microsoft emprendieron una investigación que revela que los ataques iniciales no superaron la decena. Buscaban acceder a redes corporativas mediante balizas de la herramienta de pentesting Cobalt Strike. Al menos una de las balizas se comunicaba con grupos de ransomware.
De hecho, desde la empresa de seguridad ESET destacan que parte de la infraestructura usada en los intentos de infección se había empleado antes para descargar payloads de Trickbot o BazaLoader.
La explotación del fallo en Trident comenzó el 18 de agosto, dos semanas antes de hacerse público el agujero de seguridad.
Al salir a la luz, crecieron los intentos de aprovecharlo. Varias de las tentativas procedían nuevamente de grupos de ransomware.
ESET afirma que habrá más delincuentes interesados en ganar acceso a los sistemas afectados, por lo que considera probable que se sigan reproduciendo los ataques.
“Viendo la situación y teniendo en cuenta que el número de ataques que tratarán de aprovecharse de esta vulnerabilidad tenderán a aumentar en los próximos meses, resulta vital aplicar los parches que se publicaron en los boletines de seguridad de septiembre lo antes posible”, indican desde la compañía.
“Sabemos que los delincuentes no pierden la oportunidad de añadir la explotación de nuevas vulnerabilidades a su arsenal para tratar de conseguir nuevas víctimas”, añade ESET. “Por ese motivo es ponerles las cosas difíciles mediante una gestión de las actualizaciones eficaz y la implementación de soluciones de seguridad que sean capaces de bloquear estos intentos de ataques”.