Nueva campaña de Cobalt contra entidades españolas

Desde el día de ayer hemos detectado intentos de distribución de la conocida APT Cobalt usando documentos RTF enviados como adjuntos de correos electrónicos y que explotan la vulnerabilidad CVE-2017-11882. Este tipo de campañas utilizando Cobalt ya fueron reportadas por S21sec en 09/2017:

COBALT ATTACKS IN THE WILD

Análisis

Los correos son enviados aparentemente desde Oracle con un asunto en caracteres cirílicos, dentro como adjunto contienen un archivo de texto enriquecido RTF. Este archivo tiene como objeto empotrado un script de PowerShell GhfG.py residente en %TEMP%.

Esto proporciona a los atacantes un archivo con código ejecutable en una ruta conocida que sirve como payload para el exploit CVE-2017-11882. Esta vulnerabilidad afecta a Microsoft Equation Editor (EQNEDT32.exe) presente en todas las instalaciones de Microsoft Office desde Office 2007. La explotación de esta vulnerabilidad permite la ejecución de código sin más interacción por parte del usuario que abrir el documento.

 

Este script en PowerShell decodifica y lanza a ejecución un ejecutable de Cobalt con nombre aleatorio dentro de la carpeta %TEMP%.

Remediación:
Dado que este componente tiene numerosos problemas de seguridad, y las vulnerabilidades que contienen pueden explotarse de una manera sencilla e intuitiva, se recomienda en un primer lugar no utilizar ningún Office desactualizado ya que se quedaría expuesto a dicha vulnerabilidad. En la medida de lo posible actualizar los paquetes de Microsoft Office. En caso de no poder actualizar, deshabilitar el registro del componente en el registro de Windows.

Para ello se deberá introducir el siguiente comando en la consola de Windows:

• reg add “HKLM\SOFTWARE\Microsoft\Office\XX.X\Common\COM Compatibility\{0002CE02-0000- 0000-C000-000000000046}” /v “Compatibility Flags” /t REG_DWORD /d 0x400

En el caso del paquete de Microsoft Office de 32 bits en el sistema operativo x64:

• reg add “HKLM\SOFTWARE\Wow6432Node\Microsoft\Office\XX.X\Common\COM Compatibility\{0002CE02-0000-0000-C000-000000000046}” /v “Compatibility Flags” /t REG_DWORD /d 0x400

Nota: se debe cambiar XX.X por la versión de Office utilizada.

Una vez ejecutados estos comandos, será imposible iniciar el componente vulnerable, evitando la explotación de la vulnerabilidad.


La vulnerabilidad CVE-2017-11882 fue arreglada en las actualizaciones de seguridad mensuales en el mes de noviembre de 2017 y distribuida a través de KB2553204, KB3162047, KB4011276 y KB4011262:

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2017-11882


 

Recent Posts

Leave a Comment