Uno de los vectores de infección más comunes y efectivos, especialmente para empresas, es el uso de documentos maliciosos de Office. Solo este año, fuimos testigos de dos días cero para Flash y el motor de VBScript, que primero se incorporaron a los documentos de Office antes de obtener una adopción más amplia en los kits de exploits web.
Además de aprovechar vulnerabilidades de software, los atacantes abusan regularmente de las características normales de Office, como macros, o de otras más oscuras como Dynamic Data Exchange (DDE) y, por supuesto, ataques de enlace e incrustación de objetos (OLE), que también pueden combinarse con exploits . Los administradores del sistema pueden endurecer los puntos finales mediante la desactivación de ciertas funciones en toda la empresa, por ejemplo, para frustrar ciertos esquemas de ingeniería social que intentan engañar a los usuarios para que habiliten una macro maliciosa. En versiones recientes de Office, Microsoft también está bloqueando la activación de objetos considerados de alto riesgo, según una lista de extensiones que se pueden personalizar a través de la Política de grupo.
Pero un descubrimiento reciente del investigador de seguridad Matt Nelson, muestra que se puede aprovechar otro vector de infección, uno que elude la configuración de protección actual e incluso la nueva tecnología de Reducción de Superficie de Ataque de Microsoft. Al incorporar archivos de configuración especialmente diseñados en un documento de Office, un atacante puede engañar a un usuario para que ejecute código malicioso sin más advertencias o notificaciones.
El formato de archivo, específico para Windows 10 llamado .SettingContent.ms, es esencialmente código XML que se utiliza para crear accesos directos al Panel de control. Esta característica se puede abusar porque uno de sus elementos (DeepLink) permite ejecutar cualquier binario con parámetros. Todo lo que un atacante debe hacer es agregar su propio comando usando Powershell.exe o Cmd.exe. Y el resto es historia.
Más información: https://blog.malwarebytes.com/threat-analysis/2018/07/new-macro-less-technique-used-distribute-malware/
Saludos.