Un fallo de ejecución remota de código en el cliente de SAP Windows abre la puerta a ataques ransomware dirigidas a las empresas que se basan en varios productos de SAP para gestionar y realizar un seguimiento de sus operaciones comerciales.
Descubierto por ERPScan, una empresa que opera varios productos de seguridad cibernética de gran plataforma de software de SAP, el problema afecta a la aplicación de Windows GUI que los clientes de SAP instalen en sus computadoras, en el trabajo, y algunas veces en casa. Esta aplicación permite a los empleados iniciar sesión en cuentas de SAP de su empresa y trabajar desde dentro de una aplicación dedicada, en lugar de un navegador.
La falla descubierta por los expertos ERPScan, rastreados como CVE-2017-6950 y solucionado en la Nota de seguridad SAP 2407616, permite a un atacante ejecutar código malicioso en el ordenador del usuario, a través del cliente de SAP de Windows.
La única condición es que un atacante debe hacerse cargo de un servidor SAP ABAP (Advanced Business Application Programming) y enviar código malicioso para el cliente SAP de Windows.
Según los expertos ERPScan, esto no es tan difícil como la mayoría de la gente piensa, ya que hay más de 3.800 vulnerabilidades que afectan actualmente a los productos de SAP, la mayoría de los cuales permanecen sin parchear durante un promedio de seis años.
Los expertos sostienen que un actor malicioso que se ha apoderado de un servidor SAP ABAP puede agregar una transacción de SAP en función de carga del servidor.
La próxima vez que un usuario de cliente de Windows SAP autentica, el servidor va a entregar la carga automática de transacciones SAP, que contendrá un exploit que aprovecha dele fallo CVE-2017-6950 y ejecuta el código malicioso en la máquina del usuario.
El código malicioso podría variar en la naturaleza, pero un atacante podría instruir a la estación de trabajo de la víctima para descargar e instalar ransomware.
Teniendo en cuenta que comprometer el servidor SAP ABAP abre la puerta a la instalación de ransomware en cientos o miles de estaciones de trabajo de la empresa, operadores ransomware son altamente incentivados para llevar a cabo este tipo de ataques.
Fecha actualización el 2017-3-23. Fecha publicación el 2017-3-23. Categoría: Malware. Autor: Oscar olg Mapa del sitio Fuente: bleepingcomputer