Especialistas en ciberseguridad y tecnologías de la información.

Poussin 4, Insurgentes Mixcoac, CDMX
55-62-68-90-82
[email protected]

Follina, la nueva vulnerabilidad Zero Day que afecta a Microsoft Office

Follina, la nueva vulnerabilidad Zero Day que afecta a Microsoft Office

Ciberdelincuentes están explotando una vulnerabilidad de Día Cero, denominada como Follina, la cual permite ejecutar código de forma remota en la suite de Microsoft Office.

La vulnerabilidad CVE-2022-30190, alias “Follina”, fue detectada en el protocolo URL de Microsoft Support Diagnostic Tool (MSDT) y afecta a diversas versiones de Microsoft Office, como Office 2013, 2016, 2019, 2021 y algunas versiones de prueba, así como la licencia de Microsoft 365. Cabe destacar que se trata de una vulnerabilidad de Día Cero que puede actuar incluso si las macros de office están deshabilitadas y sin la necesidad de abrir el documento, mientras se tengan habilitadas las opciones de visualización previa en Microsoft Windows.

Su descubrimiento se debe a que un equipo de investigación de nao_sec encontró el problema en un documento de Word cargado en VirusTotal desde una dirección IP ubicada en Bielorrusia. Sin embargo, también se encontraron más muestras maliciosas con fecha de abril pasado, lo que implica que esta vulnerabilidad podría haber sido explotada durante más de un mes.

Pero ¿cómo funciona la vulnerabilidad Follina?

En términos muy generales, el exploit funciona así:

  • Los usuarios abren un archivo .DOC malicioso (quizás recibido por correo electrónico).
  • El documento hace referencia a un vínculo https de aspecto normal que se descarga.
  • El vínculo https del documento hace referencia a un archivo HTML que contiene un código JavaScript de aspecto extraño.
  • El código JavaScript hace referencia a una URL con el identificador inusual ms-msdt: en lugar de https: En Windows, ms-msdt: es un tipo de URL que inicia el kit de herramientas de software MSDT, donde MSDT es la abreviatura de la herramienta de diagnóstico de soporte de Microsoft.
  • Finalmente la línea de comandos proporcionada a MSDT a través de la URL hace que se ejecute un código remoto que no es de confianza.
  • Al ejecutarse el código malicioso: Se activa la utilidad MSDT con argumentos de línea de comandos como este: msdt /id pcwdiagnostic… código que si se ejecutase a mano, sin otros parámetros, cargaría automáticamente la utilidad de MSDT e invocaría el Solucionador de problemas de compatibilidad de programas, la cual parece bastante inocente, pues pareciera que solo trata de resolver un fallo de compatibilidad con un documento de Word.

Desde esta ventana se puede elegir una aplicación para solucionar el problema, se pueden responder un montón de preguntas relacionadas con el soporte, o puede realizar varias pruebas automatizadas en alguna aplicación; y si todavía está atascado se puede optar por informar el problema a Microsoft, cargando varios datos de resolución de problemas al mismo tiempo.

  • El problema está en que los atacantes que descubrieron el truco «Follina» han utilizado una serie de opciones inusuales al momento de llamar al comando msdt /id pcwdiagnostic, con el fin de ingresar diversas instrucciones en la línea de comandos de MSDT (opciones que hacen que el solucionador de problemas de MSDT haga su trabajo vía control remoto), donde, a su vez, utilizan opciones como /skip y /force para que sus comandos se ejecuten automáticamente sin necesidad de autorización por parte del usuario.

¿Entonces debería preocuparme?

De momento sí deberíamos preocuparnos, debido a que, hasta la fecha en que se escribió este artículo, Microsoft no ha liberado algún parche de seguridad que mitigue este ataque de Día Zero. Sin embargo, algunas firmas de antivirus como Checkpoint y MalwareBytes ya han liberado algunos parches para protegernos ante esta clase de documentos. Así mismo, el 1° de junio 2022, 0patch blog publicó una breve guía de soluciones alternativas y recomendaciones a implementar de manera manual para ayudar a los usuarios a mitigar esta vulnerabilidad para la cual se sugiere deshabilitar el protocolo URL de MSDT lo cual parece ser la opción más segura para mitigar este tipo de ataques.

 

Esperando que esta información de ciberseguridad les haya sido útil para evitar ser víctimas de esta vulnerabilidad, se despide de ustedes su amigo Eliot Eggers.