Los filtros de seguridad de Gmail pueden burlarse tan sólo separando una palabra en dos. Algunas de las características de seguridad de Gmail, responsables de detectar macros maliciosas, pueden burlarse tan sólo separando “palabras clave” en dos, o en distintos renglones, según ha demostrado el equipo de investigadores de SecureState. Las macros son pequeñas piezas de código que se adjuntan a documentos Office que, si tienen permiso del usuario, pueden ejecutar y automatizar una serie de tareas. Fueron creadas para simplificar algunas tareas en el trabajo, pero las macros han recibido muchos abusos desde su comienzo, ya que los fabricantes de malware se aprovechan de ellas para llevar a cabo operaciones maliciosas que tienen como resultado la instalación de virus en los PCs de las víctimas.

Gmail

El truco sólo ha sido probado con exploits de Excel, por ahora

Microsoft bloqueó la ejecución automática de estos scripts, y envió correos electrónicos a los proveedores para que comenzasen a escanear los archivos adjuntos en busca de documentos que contengan macros. SecureState afirma que Gmail detecta de forma inmediata que un documento de Office es malicioso si el script usa ciertas palabras clave.

Los archivos de Excel son mejores para realizar ataques que el resto

En sus pruebas, Gmail identificó un archivo de Excel como malicioso cuando el código del exploit contenía la palabra “powershell”, una utilidad muy potente del scripting de Microsoft, que las macros utilizan para interactuar con el sistema operativo Windows. Para su sorpresa, si separaban la palabra, ya sea mediante colocarla en dos líneas diferentes o separándola por dos strings, ésta burlaba el filtro de seguridad de Gmail. Un atacante que sepa este truco sólo necesita adaptar su exploit separando cualquier llamada a su powershell en dos líneas diferentes, como se puede ver más abajo.

Gmail

Por si fuera poco, el investigador de SecureState Mike Benich, también ha dicho que Gmail también detecta como malicioso cualquier macro dentro de un archivo Excel que active la función “workbook open”. El investigador ha dicho que ha sido capaz de burlar esta característica de seguridad también, y que para hacerlo sólo ha tenido que mover el código del exploit debajo de un botón. El código malicioso no se ejecutaría en cuanto el usuario activase las macros en el documento Excel modificado, sino en el momento en el que la víctima activase el botón.

Dado que los archivos Excel pueden ser muy complejos, no es muy difícil imaginar a un usuario haciendo clic en un botón para resumir alguna tabla muy enrevesada, por ejemplo para verla como un gráfico, así que la ingeniería social en los archivos Excel no parece algo muy difícil de llevar a cabo.

Gmail