Recuperación de desastres y backup

Durante los últimos días, varios investigadores de seguridad se dieron cuenta de un virus a través de archivos de texto malicioso que parece invocar una vulnerabilidad no revelada anteriormente en Microsoft Office. De este modo, la vulnerabilidad permite que el documento malicioso abra una URL y comience una cadena de infección.
El proceso de infección aprovecha la utilidad de Windows msdt.exe, que se utiliza para ejecutar varios paquetes de solución de problemas de Windows. El documento malicioso que abusa de esta herramienta la invoca sin la interacción del usuario, y en consecuencia puede ejecutarse incluso si sólo se obtiene una “vista previa” del documento en el Explorador de Windows (pero sólo si se trata de un archivo RTF).
El script del documento de Word malicioso llama a un archivo HTML desde una URL remota. Los atacantes eligieron utilizar el dominio xmlformats[.]com, probablemente porque tiene un aspecto muy similar al dominio legítimo openxmlformats.org utilizado en la mayoría de los documentos de Word.
De la misma manera, ese archivo HTML contiene un bloque de código con características extrañas: 6324 bytes basura (61 líneas de filas comentadas de 100 caracteres “A”), seguidas de un script ligeramente ofuscado que, en un momento dado, descargó y ejecutó una carga útil.
Según mis compañeros de los laboratorios, es posible que no hayamos visto la cadena completa de acontecimientos relacionados con las muestras que se han hecho públicas. Por otro lado, hay medidas de mitigación que puedes tomar de inmediato para evitar que se utilice contra ti (o contra las máquinas que administras).
En resumen como el correo parece ser un vector de amenaza, los productos de Sophos detectarán el archivo adjunto bajo el nombre de detección CXmail/OleDl-AG, cuando esté incrustado en un mensaje. Además, hemos lanzado la detección Troj/DocDl-AGDX para las variantes conocidas de los maldocs (y el HTML que traen). El equipo de detección de comportamiento también está actualizando nuestras reglas para mejorar nuestra protección en profundidad y vigilar la actividad.
Seguiremos trabajando en esto y estaremos atentos a muestras adicionales o al abuso de este novedoso exploit, y planeamos publicar más información sobre el fallo en los próximos días.
Agradecemos a:
mbrhosting.com ,mbr.mx , ciscomeraki.com.mx y ciscomeraki.lat, ciscomeraki.mx, meraki.lat
Esta web utiliza cookies para que podamos ofrecerte la mejor experiencia de usuario posible. La información de las cookies se almacena en tu navegador y realiza funciones tales como reconocerte cuando vuelves a nuestra web o ayudar a nuestro equipo a comprender qué secciones de la web encuentras más interesantes y útiles.
Cookies de personalización: Son aquéllas que permiten al usuario acceder al servicio con algunas características de carácter general predefinidas en función de una serie de criterios en el terminal del usuario como por ejemplo serian el idioma, el tipo de navegador a través del cual accede al servicio, la configuración regional desde donde accede al servicio, etc.
Cookies de análisis: Son aquéllas que bien tratadas por nosotros o por terceros, nos permiten cuantificar el número de usuarios y así realizar la medición y análisis estadístico de la utilización que hacen los usuarios del servicio ofertado. Para ello se analiza su navegación en nuestra página web con el fin de mejorar la oferta de productos o servicios que le ofrecemos.
Cookies publicitarias: Son aquéllas que, bien tratadas por nosotros o por terceros, nos permiten gestionar de la forma más eficaz posible la oferta de los espacios publicitarios que hay en la página web, adecuando el contenido del anuncio al contenido del servicio solicitado o al uso que realice de nuestra página web. Para ello podemos analizar sus hábitos de navegación en Internet y podemos mostrarle publicidad relacionada con su perfil de navegación.
Cookies de publicidad comportamental: Son aquéllas que permiten la gestión, de la forma más eficaz posible, de los espacios publicitarios que, en su caso, el editor haya incluido en una página web, aplicación o plataforma desde la que presta el servicio solicitado. Estas cookies almacenan información del comportamiento de los usuarios obtenida a través de la observación continuada de sus hábitos de navegación, lo que permite desarrollar un perfil específico para mostrar publicidad en función del mismo.
Las cookies estrictamente necesarias tiene que activarse siempre para que podamos guardar tus preferencias de ajustes de cookies.
Si desactivas esta cookie no podremos guardar tus preferencias. Esto significa que cada vez que visites esta web tendrás que activar o desactivar las cookies de nuevo.
Más información sobre nuestra política de cookies