En el segundo trimestre de 2022 aumentó el número de exploits para vulnerabilidades en el paquete de Microsoft Office, lo que supone el 82% del total de exploits en las distintas plataformas, según el último informe trimestral sobre malware de Kaspersky. Las versiones antiguas de las aplicaciones siguen siendo el principal objetivo de los atacantes, con casi 547.000 usuarios afectados en total en el último trimestre. Además, el número de usuarios afectados por la vulnerabilidad de ejecución remota de código MSHTML de Microsoft, que ya se había detectado en ataques dirigidos, se multiplicó por ocho.
En el segundo trimestre de 2022, el número de ataques que explotan las vulnerabilidades del paquete de Microsoft Office aumentó, representando ahora el 82% del número total de exploits para diferentes plataformas y software, como Adobe Flash, Android, Java, etc.
Los expertos de Kaspersky descubrieron que los exploits de la vulnerabilidad, denominada CVE-2021-40444, se utilizaron para atacar a casi 5.000 personas durante el segundo trimestre de 2022, siendo de ellas 292 en España, lo que supone ocho veces más que durante los tres primeros meses del año. Esta vulnerabilidad zero-day en el motor MSHTML de Internet Explorer se notificó por primera vez en septiembre de 2021. El motor es un componente del sistema utilizado por las aplicaciones de Microsoft Office para gestionar el contenido web. Cuando se utiliza, permite la ejecución remota de código malicioso en los ordenadores de las víctimas.
Vulnerabilidad | Usuarios atacados en Q2 2022 | Dinámica de los usuarios atacados, en % Q2 2022 vs Q1 2022 |
CVE-2021-40444 | 4.886 | 696% |
CVE-2017-0199 | 60.132 | 59% |
CVE-2017-11882 | 140.623 | 5% |
CVE-2018-0802 | 345.827 | 3% |
Número de usuarios afectados por las vulnerabilidades de Microsoft Office en el segundo trimestre de 2022, y la dinámica asociada
Según los datos de telemetría de Kaspersky, CVE-2021-40444 fue empleado anteriormente para ataques dirigidos a organizaciones dedicadas a la investigación y desarrollo, energía e industria, tecnología financiera y médica, así como telecomunicaciones e informática.
«Dado que la vulnerabilidad es bastante fácil de usar, esperamos un aumento de su explotación. Los ciberdelincuentes elaboran documentos maliciosos y convencen a sus víctimas para que los abran mediante técnicas de ingeniería social. A continuación, la aplicación de Microsoft Office descarga y ejecuta un script malicioso. Para estar protegidos, es fundamental instalar el parche del proveedor, utilizar soluciones de seguridad capaces de detectar la explotación de la vulnerabilidad y mantener a los empleados al tanto de las ciberamenazas modernas», comenta Alexander Kolesnikov, analista de malware de Kaspersky.
Las versiones antiguas del paquete de Microsoft Office atraen a los ciberatacantes
CVE-2018-0802 y CVE-2017-11882 han liderado el número de ataques en cuanto al total de víctimas en el segundo trimestre de 2022, experimentando un ligero aumento respecto al primero. Se utilizaron para atacar a casi 487.000 usuarios a través de versiones antiguas de los programas de la suite Microsoft Office, que siguen siendo bastante populares y todavía siguen siendo un objetivo muy atractivo para los delincuentes. Aprovechando estas vulnerabilidades, los atacantes solían distribuir documentos maliciosos para dañar la memoria del componente Equation Editor y ejecutar código malicioso en el ordenador de la víctima. En España, el número de afectados por estas dos vulnerabilidades en el segundo trimestre fue respectivamente de 24.847 y 4.711.
El número de usuarios afectados por la CVE-2017-0199 creció un 59% hasta superar los 60.000. Si se explota con éxito, esta vulnerabilidad permite a los atacantes controlar el ordenador de la víctima y ver, cambiar o eliminar datos sin su conocimiento. Los datos españoles en este caso muestran 1.596 afectados.
Para prevenir los ataques a través de las vulnerabilidades de Microsoft Office, los analistas de Kaspersky recomiendan aplicar las siguientes medidas:
- Proporcionar al equipo SOC acceso a la última inteligencia sobre amenazas (TI). El Portal de Inteligencia sobre Amenazas de Kaspersky es un punto único de acceso a la TI de la compañía, que proporciona datos sobre ciberataques y perspectivas recopiladas por Kaspersky durante los últimos 20 años. Para ayudar a las empresas a establecer defensas eficaces en estos tiempos complicados, Kaspersky ha anunciado el acceso gratuito a información independiente, continuamente actualizada y de origen global sobre los ciberataques y amenazas en curso. Solicite el acceso
- Recibir información relevante y actualizada sobre las amenazas a tener en cuenta y las TTPs utilizadas por los atacantes.
- Se aconseja a las empresas que utilicen una solución de seguridad que ofrezca componentes de gestión de vulnerabilidades, como la Prevención Automática de Exploit de Kaspersky Endpoint Security for Business. Este componente supervisa las acciones sospechosas de las aplicaciones y bloquea la ejecución de archivos maliciosos.
- Utilizar soluciones como Kaspersky Endpoint Detection and Response y Kaspersky Managed Detection and Response que ayudan a detectar y prevenir los ataques en una etapa temprana, antes de que los atacantes puedan lograr sus objetivos.
Consulta toda la información en Securelist.