Fátima Martínez Cómo crear y organizar listas de contactos en Twitter Cuando comenzamos a utilizar una red social, no somos conscientes de la importancia de crear y organizar listas de contactos desde el primer día y, cuando queremos recordar, nos...
Mónica Sofía García Guía esencial de protocolo para sobrevivir en China ¿Tienes planificado ir a China por razones personales o profesionales? ¿Te gustaría aprender algunas normas protocolarias básicas para desenvolverte mejor allí? Te adelanto que casi con total seguridad es...
Mario Cantalapiedra Ocho decisiones que se deben tomar en el diseño de un proceso productivo En la base de cualquier actividad empresarial está transformar un bien o servicio aportando un valor añadido. Para ello, la empresa necesita de un proceso productivo por el que...
Raúl Alonso Matriz de Kraljic o la gestión de compra inteligente Sin una acertada y eficiente política de compras es muy difícil que una empresa salga adelante. La afirmación puede parecer menos excesiva si se recuerda que el 75% de...
ElevenPaths #CodeTalks4Devs – Introduciendo el Stack SMS en el mundo IoT Último #CodeTalks4Devs de la temporada. Nuestro experto Fran Ramírez muestra una aplicación práctica de Stack SMS en el mundo IoT.
ElevenPaths Eventos en los que participa ElevenPaths en septiembre Volvemos de verano con ganas de eventos, congresos y conferencias, ¡y esperamos que vosotros también!. Infórmate de las próximas fechas en las que puedes disfrutar de las ponencias de...
Ana Tarazona El II Futurecamp de Open Future: sostenibilidad e impacto social Open Future es una de las iniciativas de Innovación Abierta de Telefónica que tienen el objetivo principal de fomentar el emprendimiento local y regional, descentralizando el emprendimiento de los...
Raúl Salgado Eva Collado: ‘Debemos replantearnos constantemente nuestra profesión’ La eclosión de Internet, la llegada de las nuevas tecnologías y la consecuente y vertiginosa digitalización nos han adentrado en una nueva era que ha enterrado el mundo tal...
DIARIO ya detecta las macros “stomped” pero, ¿qué son exactamente?Área de Innovación y Laboratorio de Telefónica Tech 15 septiembre, 2020 Hace pocas semanas presentamos DIARIO, el detector de malware que respeta la privacidad de los usuarios, y seguimos mejorándolo para que detecte más y mejor. Recientemente añadimos la capacidad de detectar malware en documentos ofimáticos cuyas macros usan la técnica conocida como VBA stomping. ¿En qué consiste esta técnica y por qué es tan importante? Ya sabemos que el correo electrónico con adjuntos es una de las vías de entrada de malware más populares, concretamente los adjuntos de tipo ofimático. Esto es posible, en gran medida, gracias a la capacidad de programar código en las macros de los documentos ofimáticos. Las razones por la que esta técnica sigue funcionando dos décadas después de que se comenzase a utilizar son diversas: Las macros son fáciles de esconder.Las macros son legítimas. Aun deshabilitadas por defecto, es fácil que el usuario las habilite.Es más complejo el sandboxing para emularlas.Se envían por correo electrónico, por lo que habitualmente solo se analizan estáticamente.El usuario no piensa que un documento u hoja de cálculo pueda llegar a ser peligroso.Sigue siendo una vía muy lucrativa para los ciberatacantes. Y aunque haya pasado tanto tiempo, todavía se sigue innovando sobre esta técnica. La técnica del stomping es una prueba. Veamos primero de qué se compone una macro “reciente”. Encontraremos un archivo binario, de extensión .bin dentro del archivo .zip que hoy por hoy son los documentos. Al menos en las versiones más recientes de Office. Lo primero que hay que tener en cuenta es que en ese fichero .bin no se encuentran “las macros” como tal, sino todo un sistema listo para ser compilado y ejecutado por el propio Office. Sí, puede compararse a un proyecto cualquiera realizado con Visual Studio, donde tenemos el código fuente, las definiciones, el código compilado… El sistema Office de turno, como puede ser Word o Excel, disponen de un motor de compilación y ejecución de ese código. De hecho, dentro de este fichero .bin, encontramos (si lo analizamos con las herramientas adecuadas): PROJECT: flujo (fichero): es como el fichero de configuración.VBA_PROJECT: flujo con las instrucciones para el motor VBA. Sin documentar.Dir: comprimido y tiene el layout del proyecto.Module streams del tipo VBA/ThisDocument/NewMacros/…/__SPR_1/Module1, que contiene el código que se ejecutará. Cada módulo del código se compone a su vez de PerformanceCache y el CompressedSourceCode, que es el código fuente de la macro comprimido. ¿Para qué sirve todo esto? Esto sirve para la obsesiva retrocompatibilidad de Microsoft. Imaginemos que creamos un documento con macros en una versión de Office reciente, por ejemplo Word 2016. Creamos la macro y queda compilada en el sistema, pero también se almacena el código fuente con ella. La persona que recibe el documento puede disponer de un Office 2016, en cuyo caso para ir más rápido, se ejecutará la macro compilada directamente. Pero, ¿y si quiere abrir el documento con un Word 2003? Entonces, por compatibilidad, deberá tomar el código fuente VBA de la macro, compilarlo en su motor y ejecutarlo. Y esta es la razón por la que encontramos “en claro” el código fuente de las macros en los documentos. Esto ha supuesto históricamente una ventaja para quienes analizan este tipo de malware: pueden acceder al código fácilmente, analizarlo de forma más sencilla, etc. Los antivirus han confiado en este código fuente incluso para clasificar muestras. Pero a alguien se le ocurrió que el documento podía infectar igual si se mantenía el código compilado pero se borraba el código fuente. Y así fue. Esta técnica de borrado del código fuente es el VBA stomping, y permite pasar más desapercibido al malware sin apenas tener impacto en su capacidad de infección. Solo se librarían de la infección aquellos usuarios con versiones de motor VBA (versiones de Office al fin y al cabo) no compatibles o muy antiguas. Ya existe la herramienta Evil Clippy, capaz de facilitar el VBA stomping y automatizar todos los procesos necesarios. Como se puede ver, DIARIO ya detecta este tipo de documentos y muestra el código aunque se haya usado esta técnica: Nueva versión de TheTHE con plugins de URLScan y MalwareBazaarArchivos en la nube como la mejor forma de seguridad en la red
Telefónica Tech Boletín semanal de Ciberseguridad, 18 – 25 de noviembre Publicado exploit para vulnerabilidades ProxyNotShell A finales del pasado mes de septiembre se produjeron las primeras publicaciones acerca de nuevas vulnerabilidades críticas en Microsoft Exchange Server, CVE-2022-41040 y CVE-2022-41082, que recibieron el nombre...
Martiniano Mallavibarrena ¿Realmente estamos comprando en internet de forma “segura”? En estas fechas en las que encadenamos Black Friday, Navidad y Reyes, nunca está de más pararse un momento para hacer un repaso mental de algunos aspectos y buenas...
Telefónica Tech Trending Techies meetup: «La línea defensiva en Ciberseguridad» Hace unos días celebramos el meetup “La línea defensiva en Ciberseguridad”, un evento presencial que organizamos en el espacio de Ironhack, en Matadero Madrid, a través de la iniciativa...
Telefónica Tech Boletín semanal de Ciberseguridad, 11 – 18 de noviembre Actualizaciones de seguridad para 35 vulnerabilidades de Cisco Cisco ha publicado una actualización de seguridad con la que solventa 35 vulnerabilidades en Cisco Adaptive Security Appliance (ASA), Firepower Threat Defense...
José Pedro Gómez Lozano Cuestión de confianza: la necesidad de gobierno y control de un proyecto ¿Para qué necesito las figuras de gestión para la gobernanza de mi proyecto? Decía un filósofo allá en el siglo XIII que una flecha tiene toda la potencia en sí...
César Cañada Alonso Zero trust, tendencia en el entorno de seguridad cloud En la actualidad, la superficie de ataque es mayor que antes, ya que ahora en las empresas existen más aplicaciones, servidores, usuarios, etc. Por esta razón, es preciso limitar...
