La vulnerabilidad Follina, de la que te hablábamos ayer y que afecta a todas las versiones de Word desde Office 2013 en adelante, es mucho más grave de lo que se creía. Y es que, si bien ha empezado a generar titulares sólo durante esta última semana, lo cierto es que viene siendo explotada por cibercriminales al menos desde el pasado 12 de abril (según informa Hacker News), cuando fue detectado su uso en ciberataques procedentes de Rusia.
Sin embargo, lo más chocante es que ese mismo día Microsoft recibió la información sobre la existencia de dicha vulnerabilidad… y decidió no hacer nada al no considerarlo un problema de seguridad, alegando que la utilidad MSDT requería una clave proporcionada por un técnico de soporte antes de poder ejecutar código PowerShell arbitrario desde Word.
Lo cierto es que la vulnerabilidad se basa en un defecto del esquema URI del protocolo "ms-msdt:", y que el malware que se aprovecha del mismo (y que lleva difundiéndose durante un mes y medio) "está diseñado para eludir los productos de seguridad y volar por debajo del radar" de los sistemas antimalware, según revela Jeroe Segura, de Malwarebytes.
Peor aún: ahora sabemos que ni siquiera es necesario que lleguemos a abrir el archivo Word para que se ejecute el código malicioso: si alguien renombra el documento con la extensión de archivo .RTF (formato de texto enriquecido) las salvaguardas de Vista Protegida para archivos potencialmente peligrosos no se activarán, por lo que podremos infectarnos meramente por previsualizar el documento en el Explorador de Windows.
Microsoft, que ha terminado por reconocer el problema que tenía entre manos, aún no ofrece ningún parche oficial (aunque te recordamos que 0patch sí ha lanzado uno no oficial): por ahora, su recomendación pasa por desactivar el panel de vista previa del Explorador de Windows, así como el protocolo MSDT.
Una nueva vulnerabilidad que se combina con Follina para aumentar su peligrosidad
Para terminar de redondear el desastre, ha salido a la luz otra vulnerabilidad similar que afecta en este caso a otro protocolo interno de Windows, search-ms, usado normalmente para realizar búsquedas locales en el equipo, pero que también puede ser usado para hacer lo propio con archivos compartidos en un host remoto.
Los ciberdelincuentes han encontrado un método para eludir la advertencia de seguridad que debería mostrarse de forma predeterminada, por lo que resulta muy sencillo para ellos engañar a una víctima potencial para que haga clic en una URI de search-ms.
Así, combinando Follina con la nueva vulnerabilidad, un experto en ciberseguridad ha logrado mostrar que es posible usar un archivo de Word malicioso para abrir una ventana de búsqueda remota en el equipo de la víctima. Si al recurso compartido remoto se le da un nombre engañoso, es posible convencer al usuario de que se trata de actualizaciones de software importantes que debe descargar e instalar:
Here's how exploitation looks to the user when opening ;-) pic.twitter.com/4wlvbPJ2oZ
— hackerfantastic.crypto (@hackerfantastic) June 1, 2022
De nuevo, en este caso sólo podemos recurrir a soluciones provisionales y no-oficiales:
Steps for mitigation:
— hackerfantastic.crypto (@hackerfantastic) June 1, 2022
1. Run Command Prompt as Administrator.
2. To back up the registry key, execute the command “reg export HKEY_CLASSES_ROOT\search-ms filename“
3. Execute command “reg delete HKEY_CLASSES_ROOT\search-ms /f”. pic.twitter.com/NYDp3txiIb
Ver todos los comentarios en https://www.genbeta.com
VER 0 Comentario