Consiguen ocultar macro cambiando la extensión del documento

Escrito por Rubén Velasco
Seguridad
0

Las macro llevan siendo utilizadas desde casi el principio de la informática, aunque no ha sido hasta los años 90 cuando los piratas informáticos han empezado a utilizarlas para distribuir malware e infectar sistemas informáticos. El aumento del conocimiento por parte de los usuarios frente a estas amenazas hizo que en el año 2000 este tipo de amenazas informáticas estuvieran casi acabadas, sin embargo, con el lanzamiento de Office 2007 se introdujo una nueva característica en las macros que, por desgracia, han revivido este tipo de malware, hasta el día de hoy.

Una macro, abreviatura de macroinstrucción, es un sencillo programa formado por una serie de instrucciones de manera que, cada vez que se las llama, puedan realizar una tarea de manera secuencial, es decir, de principio a fin. Las macro están creadas generalmente por instrucciones de manera que podamos automatizar tareas repetitivas, sin embargo, al poder escribirse en lenguaje Visual Basic, una macro puede contener prácticamente cualquier cosa, por lo que los piratas informáticos también se han aprovechado durante años, y siguen haciéndolo, de este contenido para hacer el mal.

A día de hoy, Office trabaja con 4 formatos estándar de OfficeOpen: DOCX y DOTX, que no son compatibles con las macro, y DOCM y DOTM que sí son compatibles con estos códigos. Word no se basa solo en la extensión para abrir los archivos, sino que, además, compara el MIME de los archivos para comprobar que coincide y no ha sido modificado. En caso de que algo no coincida, el archivo dará error de verificación al abrirse.

Un simple cambio de extensión permite ejecutar Macro en documentos que no deberían permitirlo

Los expertos de seguridad de Cisco han detectado que, mientras que si tenemos un archivo DOCX/DOTX y lo renombramos a DOCM/DOTM, al intentar abrirlo para introducir macros en él encontraremos un error al no coincidir el MIME del documento, sin embargo, si lo hacemos al revés (cambiamos la extensión de un documento *M con macros por *X), las macros seguirán inyectadas en el documento y, además, si lo intentamos ejecutar veremos cómo Word no solo no muestra ningún error, sino que además ejecuta automáticamente dichas macros.

La responsable de este problema es wwlib.dll, una librería que utiliza Office para validar los MIME que, aunque en el primer sentido sí detecta la anomalía, en el segundo (probablemente por temas de compatibilidad) no, lo que permite ejecutar un DOCX con macros ocultas cuando, en teoría, no debería tenerlas.

Macro Office Word

Igual que Cisco, varios piratas informáticos también han detectado este fallo, lo que ha dado lugar a múltiples campañas de distribución de malware, campañas que están creciendo cada mes y que se están ganando un gran número de víctimas por todo el mundo.

Microsoft ya ha solucionado el problema, por lo que si queremos protegernos de esto simplemente debemos actualizar nuestro Office para que, en caso de intentar abrir un documento con la extensión modificada, nos aparezca el correspondiente mensaje de advertencia o error igual que cuando el cambio de extensión se hace a la inversa.

¿Alguna vez te has encontrado algún documento con macros ocultas?

Quizá te interese:

Fuente > Talos


Últimos análisis

Valoración RZ
10
Valoración RZ
7
Valoración RZ
9
Valoración RZ
10
Valoración RZ
8
Valoración RZ
10
Valoración RZ
9
Valoración RZ
9
Valoración RZ
10