Resumen: El día de ayer, múltiples investigadores de seguridad informaron sobre una nueva vulnerabilidad de ejecución remota de código en Microsoft Office.
El fallo, ahora rastreado como CVE-2022-30190, se trata un problema en MSDT (Microsoft Diagnostic Tool) que permite a los atacantes utilizar documentos maliciosos para ejecutar comandos de PowerShell en los ordenadores de sus víctimas.
Hasta ahora, el equipo de investigación de seguridad independiente de nao_sec, había sido el primero y único en detectar la vulnerabilidad en un documento de Word malicioso subido a VirusTotal desde una IP en Bielorrusia. Sin embargo, tras una serie de análisis, otros analistas encontraron nuevas muestras de malware que datan del mes de abril; lo que significa que el fallo lleva más de un mes estando activo.
Dicho esto y dada la creciente explotación de CVE-2022-30190, también apodado como Follina, múltiples investigadores han emitido una serie de soluciones de seguridad para proteger a los usuarios de este tipo de ataques. Uno de los primeros fue el Centro de Respuesta de Seguridad de Microsoft, que compartió información sobre el exploit diciendo que si este era entregado a través de una aplicación de Microsoft Office, el modo “Vista Protegida o Application Guard” sería activado por defecto y se encargaría de bloquear el ataque. A lo que muchos analistas respondieron que la respuesta de Microsoft frente a la situación, se trataba únicamente de una solución inútil, ya que el exploit podía ser activado por los atacantes, inclusive cuando la vista previa era habilitada desde el navegador. Del mismo modo, Microsoft también sugirió a los usuarios deshabilitar por completo el protocolo de URL de MSDT.
Para utilizar esta solución, los usuarios deberían ejecutar privilegios de administrador, para luego hacer copias de seguridad de la clave de registro, ejecutando el comando “reg.exportHKEY_CLASSES_ROOT\ms-msdt filename”.
Una vez hecho esto, el sistema no le permitiría a las aplicaciones externas aprovechar la herramienta de MSDT.
Finalmente, Microsoft le recomendó a los usuarios hacer uso de las nuevas herramientas de detección en Microsoft Defender Antivirus y Microsoft Defender for Endpoint, ya que le permitirían a la "BlockOfficeCreateProcessRule" bloquear todas las aplicaciones de Office que intentaran crear procesos independientes al ser infectadas de malware.
Si bien estas han sido las únicas soluciones proporcionadas por el equipo de seguridad de Microsoft, se espera que más adelante sean compartidas nuevas actualizaciones.
Dada la posible explotación de la vulnerabilidad, se le insta a todos los usuarios a mantener sus sistemas al día, así como a ejecutar cualquiera de las soluciones proporcionadas por Microsoft.
Referencias:
|
SÍGUENOS