Ciberamenazas más peligrosas de 2021:Piratean OpenOffice con un documento especial

Se ha descubierto una vulnerabilidad sin parchear en la popular suite ofimática de código abierto, Apache OpenOffice, que convierte a cientos de millones de usuarios que la descargaron en víctimas potenciales de ataques de desbordamiento de búfer.

El experto en seguridad de Singapur Eugene Lim informó sobre esta vulnerabilidad (CVE-2021-33035) en la conferencia en línea HackerOne Hacktivity el 18 de septiembre de 2021. La moratoria sobre la divulgación de esta información terminó el 30 de agosto, pero la solución nunca se implementó por completo.

«Intentaremos lanzar Apache OpenOffice 4.1.11 dentro de un mes, con suerte antes, y publicaremos CVE-2021-33035 antes de su lanzamiento», dijo Dave Fisher, en nombre del Comité de Gestión de Proyectos de Apache OpenOffice.

CVE-2021-33035, como explicó Lim, «es un desbordamiento de archivo .dbf que anula el puntero de retorno al omitir DEP [Prevención de ejecución de datos] y ASLR [Aleatorización de marcado de espacio de direcciones] para finalmente ejecutar comandos arbitrarios del atacante».

Lim descubrió este error después de investigar el formato de archivo .dbf y configurar una plantilla para fuzzing: insertando datos con la esperanza de causar un bloqueo. Al final, pudo ejecutar una demostración de concepto: un ataque que consistía en abrir un archivo en OpenOffice Calc y luego fallar.

Lim dijo que la vulnerabilidad también afectó al Scalabium dBase Viewer (CVE-2021-35297), pero como se trata de un solo desarrollador, la solución fue rápida. En lo que respecta a Apache OpenOffice, la divulgación inicial se produjo el 4 de mayo y, con un poco de suerte, la solución estará lista a finales de septiembre de 2021. Aquellos que no estén dispuestos a esperar pueden usar los instaladores beta y el código fuente parcheado.

Trojan-Ransom.Win32

En la primera quincena de agosto de 2021, un nuevo ransomware inició su «actividad», que utiliza el algoritmo AES para cifrar archivos. Cifra todos los archivos del disco duro con las siguientes extensiones (59 tipos):

.gzip, .gz, .pst, .xl, .txt, .xls, xlw, .docx, .doc, .cer, .key, .rtf, .xlsm, .xlsx, .xlc, .docm, .xlk, .htm, .chm, .text, .ppt, ..wri, .css, .asm, .html,  djvu, .pdf, .lzo, .djv, .cdx, mdb, .sql, .abw, .pab, .vsd, .xsf, .cdt, .cdr, .bpg, .xfm, .dfm, xsn, .pps, .lzh, .pgp, .arj, .pas, .dpk, .dpr, .frm, .vbp, .php, .js, .dbt, .dbf, .odc, .mde. Al finalizar el cifrado, muestra una imagen con un mensaje en la pantalla. Tu identificación, Su dirección IP. La presencia de software ilegal se registró en su computadora, así como la infracción de derechos de autor en varios materiales: Cargar y guardar materiales de audio, así como software ilegal que viole los derechos de autor de sus propietarios.

El mecanismo de trabajo es:

1. Después del inicio, crea un mutex llamado SYSTEMMVDRF para evitar que se inicien varias copias.

2. La ventana del programa está oculta hasta el final del cifrado.

3. La clave de ejecución automática del virus se escribe en el registro al iniciar el sistema, el archivo en sí se guarda en la carpeta Application Data (Windows XP) o AppData \ Roaming (para sistemas superiores a XP) de la cuenta de usuario en la que se realizó el cifrado.

4. Se comprueba la presencia de los parámetros de id e IP en el registro + la presencia de un archivo con una clave de cifrado – si este es el primer lanzamiento (por supuesto, todavía no hay datos), hay una apelación al servidor, de donde proviene la clave de cifrado (la clave está cifrada y guardada en el disco en la carpeta con el virus), así como la identificación y la IP que deben especificarse al solicitar la clave.

Comienza el cifrado: Los archivos originales se eliminan. En cada carpeta con archivos cifrados, el archivo WARNING.txt se vuelca adicionalmente, duplicando el mensaje de cifrado – si este no es el primer lanzamiento, el programa continúa con el mismo.

5. Al final del cifrado, el archivo con la clave (parece) se borra y el usuario está «contento» con el mensaje del ransomware.

6. Después del pago y haciendo clic en el botón Desbloquear, se verifica la validez de la clave: durante el cifrado, se crea un archivo con el texto en la carpeta con el virus, que en el camino se cifra con el resto de los archivos, y cuando hace clic en el botón Desbloquear, se descifra y se compara.

Al eliminar archivos (ya sean archivos originales, archivos temporales o cifrados), el virus los sobrescribe tres veces con código basura y solo entonces se detecta el ransomware como Trojan-Ransom.Win32. En el proceso de análisis, accidentalmente lo descubrió y lo detuvo a tiempo.