Te lo hemos dicho muchas veces: nunca hagas clic en enlaces sospechosos, nunca abras archivos de fuentes desconocidas, borra siempre los correos electrónicos que provengan de fuentes poco fiables. Sin embargo, aunque todos estos consejos son buenos, no sirven de ayuda cuando usas Outlook, ya que todas estas precauciones no te protegen de una vulnerabilidad llamada BadWinmail. Ni siquiera hace falta que hagas clic o que abras algo para que tu equipo quede infectado. Simplemente recibes un correo electrónico y ya está, te has infectado sin ni siquiera abrirlo.
¿Cómo es posible?
Si estás familiarizado con Microsoft Office, seguramente sabrás que hay objetos que se pueden incrustar o adherir en archivos de MS Office. No todo tipo de archivos, pero la lista es bastante extensa. A esto se le llama tecnología de incrustación y enlazado de objetos (Object Linking and Embedding u OLE, en inglés).
Logo for #BadWinMail ? pic.twitter.com/gP45Iq3ShE
— Erlend Oftedal (@webtonull) December 16, 2015
Al parecer, esta tecnología funciona no solo en archivos DOC, XLS, etc., sino que también funciona en Outlook. Y al parecer, la lista de archivos que hemos mencionado antes, además de contener archivos genéricos de MS Office, también incluye otros más avanzados como Adobe Flash.
¿Sabes por qué a los cibercriminales les gusta tanto Flash? Porque tiene muchas vulnerabilidades. Algunos de sus bugs son de día cero, lo que significa que no han sido parcheados. Estas vulnerabilidades pueden ser explotadas con el fin de hacerle algunas cosas a tu PC bastante desagradables.
Adobe Patches 23 Critical Vulnerabilities in Flash Player: https://t.co/ON2iKYKk5f via @threatpost pic.twitter.com/29dRbc5KTI
— Kaspersky (@kaspersky) September 21, 2015
Se trata de un problema muy conocido, y, con el fin de luchar contra él, los desarrolladores llevan a cabo una simple acción: solo permiten que su software tenga acceso a contenido en Flash (por ejemplo, los navegadores) en las llamadas “sandboxes” (o cajas de arena, en español). El código malicioso puede hacer cualquier cosa dentro de ellas, incluso iniciar un sofisticado apocalipsis cibernético.
Sin embargo, la idea se basa en que este no puede salir de la sandbox, por lo que no afectará a lo que esté fuera de ella, por lo que tus archivos no se verán afectados. Bueno, al menos está diseñada para que sea así, pero a veces esto no funciona, esta es otra historia de la que hablaremos más adelante. En este caso no se aplica.
Si estás esperando un tercer “al parecer…”, aquí está. Al parecer, Outlook no utiliza el truco de las sandboxes para los archivos potencialmente peligrosos, sino que lo ejecuta todo en modo normal. Esto significa que el código malicioso en archivos incrustados puede actuar como cualquier otro software instalado en tu PC.
¿Qué es la vulnerabilidad #BadWinmail y por qué es tan peligrosa?
Tweet
El problema no termina con estos tres titulares sobre malas noticias. Outlook es tan servicial que abre los correos electrónicos nuevos antes de que tú lo hagas. Por lo tanto, si el correo electrónico malicioso con el exploit BadWinmail es el correo más reciente de tu bandeja de entrada, se ejecutará inmediatamente al iniciar Outlook.
Haifei Li, el investigador en seguridad cibernética que descubrió el bug, creó lo que él calificó como la prueba de concepto de un posible ataque explotando la vulnerabilidad BadWinmail. Sorprendentemente, lo describió de la forma más simple en su investigación.
Además, creó un breve vídeo en el que explica perfectamente la idea principal del funcionamiento de la vulnerabilidad:
Special Report: #BadWinmail – The "Enterprise Killer" Attack Vector in #Microsoft #Outlookhttps://t.co/pOTNIh6bQs. https://t.co/BaDEBZXCSm.
— Haifei Li (@HaifeiLi) December 15, 2015
Para que entiendas por qué es tan peligrosa, imagina que un criminal, en lugar de ejecutar una aplicación tan inofensiva como la calculadora, ejecute un ransomware en tu PC.
La buena noticia es que Haifei Li informó a Microsoft de este bug y la compañía lo solucionó el día 8 de diciembre. La mala noticia es que, los que no suelen actualizar su software rápidamente todavía tienen esta vulnerabilidad. Y muchos de ellos lo seguirán teniendo durante semanas, meses o incluso años.
#IT #Tip Disable the “remind me later” button to ensure critical updates installed https://t.co/jVKXcJ1vWm #infosec pic.twitter.com/KNnlnjk0Ej
— Kaspersky (@kaspersky) November 5, 2015
Como este informe se divulgó abiertamente, muchos cibercriminales tratarán de utilizar esta vulnerabilidad con el fin de infectar a miles o incluso millones de PCs. Y, si alguna vez te has preguntado si es tan importante actualizar siempre tu software de forma inmediata y utilizar un software de seguridad, ahora tienes otra buena razón para que la respuesta a esta pregunta sea afirmativa.