Entre los datos que arrojó el ESET Threat Report del segundo semestre de 2023, hay uno que era de esperarse. Hablamos de "Win/Exploit.CVE-2017-11882 trojan", detección que hace referencia al exploit que aprovecha una vulnerabilidad de Microsoft Office 2017 y que es utilizada por cibercriminales para distribuir distintos tipos de malware, como Agent Tesla y otros troyanos de acceso remoto. Según el informe, fue la principal detección maliciosa a través del correo electrónico en América Latina durante la segunda mitad del año pasado.

Nota: un exploit es un código que se aprovecha de una vulnerabilidad o fallo de seguridad en una aplicación o sistema y que suele ser utilizado como llave para acceder a los sistemas de una víctima y realizar otra acción maliciosa. Por ejemplo, descargar malware.

A través de este artículo, recorreremos las principales características de esta amenaza y ejemplos de algunos correos recientes en los que se detectó la presencia de este exploit que es utilizado para distribuir distintos tipos de malware. También analizaremos la preocupación que genera que una vulnerabilidad que podría ser parcheada con actualizaciones de seguridad, siga vigente tantos años después.

¿De qué se trata "Win/Exploit.CVE-2017-11882 trojan"?

CVE-2017-11882 es una vulnerabilidad en el editor de ecuaciones de Microsoft Office, que data del 2017 y hoy sigue siendo muy utilizada por cibercriminales.

La detección "Win/Exploit.CVE-2017-11882 trojan" corresponde al código del exploit que permite abusar de la vulnerabilidad y realizar acciones maliciosas. ¿Cómo cuáles? Descargar troyanos de acceso remoto o RAT, ransomware, mineros de criptomonedas u otro tipo de malware, o bien algún downloader que luego lo haga.

El cibercriminal crea un archivo malicioso, que principalmente es enviado por correo electrónico, y luego debe lograr que la posible víctima lo abra. En caso de que sea abierto, si la víctima no tiene instalado el parche de seguridad que corrige esta vulnerabilidad, el atacante podrá ejecutar código con los privilegios del usuario. Esto quiere decir que si la víctima tenía privilegios de administrador, el ciberatacante podrá desde instalar programas hasta borrar datos.

La más explotada en ataques de phishing en Latinoamérica en 2023

Varias investigaciones de ESET de grupos sofisticados demuestran que son muchos actores y de distinto calibre los que, a lo largo de los años, han aprovechado esta vulnerabilidad en sus ataques. Siendo una vulnerabilidad que data de 2017 y para la cual existen parches de seguridad, llama la atención (y debe preocuparnos) que el exploit represente una de las vulnerabilidades más relevantes durante 2023.

Esto puede ser consecuencia de diversos factores, como la falta de inversión para realizar el parcheo de seguridad, el desaconsejable uso de software pirata, o simplemente de no estar al tanto de esta vulnerabilidad o pensar erróneamente que no conlleva ningún riesgo.

El escenario es aún más preocupante cuando vemos algo que no hace más que confirmar la tendencia: en diciembre de 2022 esta vulnerabilidad también se encontraba en el top de las más explotadas en la región: más del 20% de las detecciones para correos de phishing correspondieron a la explotación de esta vulnerabilidad.

Si nos vamos un poco más atrás en el tiempo, en la ya lejana época de pandemia ocasionada por el Covid-19, veremos que en el 2020 esta vulnerabilidad también aparecía en el top de las más explotadas por los cibercriminales. También en 2018, había impactado especialmente a Perú y Argentina, cada uno con el 22% de las detecciones latinoamericanas.

Amenazas que se distribuyen a través de la explotación de esta vulnerabilidad

Si bien, como mencionamos anteriormente, se han distribuido todo tipo de códigos maliciosos mediante la explotación de esta vulnerabilidad, en la actualidad el elevado número de casos en Latinoamérica se relaciona con troyanos de acceso remoto. En la mayoría de los correos que hemos observado, el archivo malicioso se distribuye a través de archivos Excel adjuntos.

De hecho, casos recientes compartidos en la red social X (léase Twitter), hablan de que fue utilizada para distribuir amenazas como Agent Tesla, con el objetivo de robar contraseñas del navegador, registrar pulsaciones del teclado de la víctima y contenido del portapapeles.

A su vez, en mayo de 2023 el Laboratorio de ESET analizó un correo malicioso que utiliza el nombre "Banco Monex" -uno de las principales entidades bancarias de México- cuyo principal objetivo era explotar la mencionada vulnerabilidad de 2017 para cargar el payload de un malware que permite al cibercriminal ejecutar código malicioso de forma remota en el sistema afectado.

Otro caso de 2023 fue el de Lokibot, malware con características de troyano que roba información confidencial de los equipos comprometidos, ya sea nombres de usuario, contraseñas, billeteras de criptomonedas y otro tipo de información, que también se ha estado distribuyendo a través de la explotación de esta vulnerabilidad.

Y yendo un poco más atrás en el tiempo, Donot Team realizó ataques a lo largo de 2020 y 2021, dirigidos a entidades gubernamentales y militares en varios países del sur de Asia, explotando esa misma vulnerabilidad. ¿El objetivo? Ejecutar shellcode, que no requiere interacción por parte del usuario, y desplegar componentes principales del malware.

Ejemplo de correo actual de phishing que distribuye el exploit

El siguiente es un ejemplo de cómo se intenta distribuir esta amenaza a través de un correo, con un archivo Excel como adjunto (tal como hemos comprobado que sucede en muchos casos).

 
correo diciembre - CVE-2017-11882

Imagen 1. Ejemplo de correo de phishing que distribuye exploit.

El correo malicioso en este caso tiene la particularidad de que utiliza el nombre y hasta el puesto de trabajo de una persona real.

Por otro lado, y para confirmar la complejidad y evolución que tienen estos correos de phishing, la imagen demuestra cómo los cibercriminales no utilizan una dirección de correo apócrifa. Esto se debe a que los atacantes detrás de esta campaña utilizaron la técnica de email spoofing, la cual les permite ocultar la verdadera dirección del remitente en un correo malicioso y sustituirla por una legítima suplantando la identidad de una empresa o un usuario al utilizar un dominio auténtico. Esto hace que sea más difícil de ser detectado.

¿Cómo protegerse de este exploit?

El primer (y fundamental) paso es actualizar las soluciones de ofimática e incorporar el buen hábito de mantener actualizado todo software y hardware con las últimas actualizaciones de seguridad. Son estas actualizaciones las que contienen parches que corrigen los fallos de seguridad que suelen ser aprovechados por los cibercriminales.

Otra muy buena herramienta es aprender a reconocer correos de phishing, ya sea verificando la dirección del remitente y otros elementos para determinar si una comunicación que llega a la bandeja de entrada es falsa.

Y por supuesto, no se recomienda descargar ni abrir archivos adjuntos incluidos en correos que llegan de manera inesperada y/o no solicitada de parte de remitentes desconocidos, como tampoco abrir enlaces que pueden ser incluidos en este contexto.

Por último, siempre es aconsejable tener instalado en la computadora y el dispositivo móvil un software antimalware que detecte y bloquee cualquier correo sospechoso a tiempo.

Conclusión

Si una vulnerabilidad que data de 2017 sigue siendo explotada aún hoy por los cibercriminales, el escenario es sencillo de comprender: la cantidad de empresas y usuarios que no han realizado las actualizaciones pertinentes es tan grande como suficiente para que la continúen explotando para la rentabilidad y crecimiento de su negocio.

Es por eso que remarcamos la importancia y necesidad de estar al día con los parches y actualizaciones de seguridad, tanto en los sistemas operativos, navegadores y cualquier tipo de aplicaciones. Que una vulnerabilidad de 2017 no siga siendo explotada queda en nuestras manos. Estamos a un clic de poder ponerle freno.