Cómo los bloques de fortiedr intentan aprovechar la vulnerabilidad del editor de ecuaciones de Microsoft (CVE-2017-11882)

Consulta técnica sobre FortiEDR

Descripción

Editor de ecuaciones de Microsoft: 

El Editor de ecuaciones de Microsoft ( EQNEDT32.EXE) es una función heredada de Microsoft Office que se usa para mostrar ecuaciones matemáticas en Microsoft Office. Fue creado en 2000 y, en retrospectiva, fue vulnerable a lo largo de su vida útil hasta que Microsoft lo eliminó de todas las versiones en enero de 2018 y lo reemplazó con un nuevo editor de ecuaciones.

 

CVE-2017-11882: 

M icrosoft  Equation Editor contiene una vulnerabilidad de desbordamiento del búfer de pila que permite la ejecución de código arbitrario en el contexto del usuario actual al no manejar correctamente los objetos en la memoria. Al explotar esta vulnerabilidad, el documento puede descargar y ejecutar otro archivo malicioso.


Versiones afectadas: 

Afecta a múltiples versiones de Microsoft Office, hasta Word 2016.


Pre-Ejecución:

FortiEDR detecta una ejecución de secuencia de comandos sospechosa y bloquea la ejecución del proceso del Editor de ecuaciones.


Post-Ejecución:

Al permitir la ejecución del script, ya sea configurando una excepción en el editor de ecuaciones heredado o configurando la política de prevención en el modo de simulación, podemos observar cómo FortiEDR maneja la ejecución del shellcode.

 

Cuando se abre el documento rtf malicioso, se explota la vulnerabilidad CVE-2017-11882 para descargar una carga útil maliciosa del proceso de Internet Explorer. Esta actividad posterior a la explotación es detectada y bloqueada por FortiEDR.


Caza de amenazas:

La consulta de búsqueda de amenazas que se proporciona a continuación se puede utilizar para encontrar documentos de Word sospechosos que inician el proceso del editor de ecuaciones.

Artículos relacionados  Comunicación - Núcleo - Recopilador - Preguntas del agregador - Ejecución autónoma



La siguiente consulta de búsqueda de amenazas ayuda a identificar los procesos del editor de ecuaciones que generan el proceso iexplore para descargar cargas útiles maliciosas.


La carga útil maliciosa se puede encontrar comprobando los archivos creados por el proceso winword.exe. 

COI:


c88d0f7d623b2a2c066dd6b15597d1f4c44d89e7a8e660e28c3494f441826ea5


Referencias:

https://www.fortinet.com/blog/threat-research/cobalt-malware-strikes-using-cve-2017-11882-rtf-vulner…

https://www.fortinet.com/blog/threat-research/new-remcos-rat-variant-is-spreading-by-exploiting-cve-…

https://www.fortinet.com/blog/threat-research/spearphishing-attack-uses-covid-21-lure-to-target-ukra…

El Servicio de Detección y Respuesta Administrada (MDR) de FortiGuard está diseñado para clientes de la plataforma avanzada de seguridad de punto final FortiEDR. Este equipo de expertos en amenazas monitorea, revisa y analiza cada alerta, busca amenazas de manera proactiva y toma medidas en nombre de los clientes para garantizar que estén protegidos de acuerdo con su perfil de riesgo. 


¡Déjanos cualquier duda sobre FortiEDR aquí abajo!

¿Te ha resultado útil??

0 / 0

Deja una respuesta 0

Your email address will not be published. Required fields are marked *