CVE-2017-11882: Two-Decades-Old Vulnerability in Microsoft Office Still Actively Leveraged For Malware Delivery

[post-views]
abril 01, 2021 · 3 min de lectura
CVE-2017-11882: Two-Decades-Old Vulnerability in Microsoft Office Still Actively Leveraged For Malware Delivery

A pesar de haber sido parcheada hace tres años, se informa que los hackers aún dependen de una vieja vulnerabilidad de ejecución remota de código en Microsoft Office (CVE-2017-11882) para infectar a las víctimas con malware. Según el análisis de amenazas informe de HP Bromium, la falla representa casi tres cuartas partes de todos los exploits utilizados en el cuarto trimestre de 2020.

Descripción de CVE-2017-11882

CVE-2017-11882 es un error de corrupción de memoria en el Editor de Ecuaciones de Microsoft Office que permite la ejecución remota de código en dispositivos vulnerables. Los hackers podrían explotar esta falla engañando a los usuarios para que abran un archivo especialmente diseñado. Al explotar exitosamente, los adversarios obtienen la capacidad de ejecutar código arbitrario en el contexto de un usuario actual. Si el usuario ha iniciado sesión con privilegios administrativos, los atacantes podrían tomar el control total de la instancia atacada.

La vulnerabilidad se introdujo en Microsoft Office hace casi 20 años y se parcheó por el proveedor en 2017 con su lanzamiento de Patch Tuesday de noviembre. Sin embargo, la corrección oficial nunca detuvo a los adversarios de explotarla activamente. Desde 2017 la vulnerabilidad ha sido utilizada continuamente para entregar varios ejemplos de malware, incluyendo Loki, FormBook, Pony, ZBOT, Ursnif, Agent Tesla y más. La extrema popularidad de los exploits del Editor de Ecuaciones, incluyendo CVE-2017-11882, surge del hecho de que los usuarios de Microsoft Office a menudo no actualizan sus sistemas a tiempo, dejando una puerta abierta para los hackers.

CVE-2017-11882 Exploit en el ambiente real

La investigación conjunta del Departamento de Seguridad Nacional, el FBI y el gobierno estadounidense coloca a CVE-2017-11882 en la lista de las fallas más frecuentemente usadas por actores de amenazas avanzadas en sus operaciones maliciosas. Según el informe, hackers chinos, norcoreanos y rusos están utilizando continuamente el error de Microsoft Office desde al menos 2016. from the Department of Homeland Security, the FBI, and the US government puts CVE-2017-11882 on the list of flaws most frequently used by advanced threat actors in their malicious operations. As per the report, Chinese, North Korean, and Russian hackers are continuously leveraging the Microsoft Office bug since at least 2016. 

Según el análisis de HP Bromium, esta tendencia solo se intensificó en 2020, haciendo de CVE-2017-11882 el exploit principal para el tercer y cuarto trimestre de 2020. Particularmente, en el tercer trimestre de 2020, la vulnerabilidad de Microsoft Office representó casi el 90% de los exploits en uso. Y durante el cuarto trimestre de 2020, el 74% de todos los ciberataques aprovechando exploits sin parches dependieron de CVE-2017-11882.

Detección y Mitigación

En vista de la popularidad extrema de CVE-2017-11882, se insta a los usuarios a actualizar sus servicios lo antes posible para mantenerse seguros. Para detectar posibles ciberataques que aprovechan la vulnerabilidad contra sus sistemas, puede descargar una nueva regla comunidad Sigma de nuestro entusiasta desarrollador de Threat Bounty Aytek Aytemur

https://tdm.socprime.com/tdm/info/vXBEcFu7I9p6/Zbvhg3gBcFeKcPZnWpvo

La regla tiene traducciones para las siguientes plataformas: 

SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, LogPoint, Humio, RSA NetWitness, FireEye Helix

EDR: Carbon Black, Sentinel One, Microsoft Defender ATP

MITRE ATT&CK: 

Tácticas: Ejecución, Descubrimiento

Técnicas: Explotación para Ejecución en el Cliente (T1203), Consulta de Registro (T1012), Descubrimiento de Información del Sistema (T1082)

También puedes explorar la lista completa de detecciones de CVE-2017-1182 disponible en Threat Detection Marketplace. Mantente al tanto de nuestro blog para más actualizaciones.

Suscríbete a Threat Detection Marketplace gratis y llega a la biblioteca de contenido SOC primera en la industria que agrega más de 100K reglas de detección y respuesta mapeadas a la matriz MITRE ATT&CK y aplicables a tu solución de seguridad en uso. ¿Inspirado para desarrollar tus propias reglas Sigma? Únete a nuestro Programa Threat Bounty¡Entusiasta por mejorar tus habilidades de caza de amenazas? Lee nuestra Guía de Reglas Sigma para principiantes.

Ir a Plataforma Únete a Threat Bounty

Tabla de Contenidos

¿Fue útil este artículo?

Dale me gusta y compártelo con tus compañeros.
Únase a la plataforma Detection as Code de SOC Prime para mejorar la visibilidad de las amenazas más relevantes para su negocio. Para ayudarle a comenzar y obtener un valor inmediato, reserve una reunión ahora con los expertos de SOC Prime.
Únase Gratis Reserve una Reunión

Publicaciones relacionadas

Detección de Backdoor MQsTTang: Nuevo Malware Personalizado por el APT Mustang Panda Utilizado Activamente en la Última Campaña Contra Entidades Gubernamentales
Blog, Últimas Amenazas — 4 min de lectura
Detección de Backdoor MQsTTang: Nuevo Malware Personalizado por el APT Mustang Panda Utilizado Activamente en la Última Campaña Contra Entidades Gubernamentales
Daryna Olyniychuk
Detección de MagicWeb: NOBELIUM APT utiliza sofisticada elusión de autenticación
Blog, Últimas Amenazas — 3 min de lectura
Detección de MagicWeb: NOBELIUM APT utiliza sofisticada elusión de autenticación
Anastasiia Yevdokimova
Detección de Malware en PyPi: Robo de Tokens de Discord Para Propagar Malware
Blog, Últimas Amenazas — 3 min de lectura
Detección de Malware en PyPi: Robo de Tokens de Discord Para Propagar Malware
Anastasiia Yevdokimova