Hace más de un mes, un archivo de Word (.docx) remitido a VirusTotal desde Bielorrusia permitía identificarlo como un documento malicioso que se aprovechaba de una vulnerabilidad 'zero day' de Microsoft Office. Como tal, por ahora sortea las protecciones antimalware…
…pero lo peor es que es capaz de ejecutar código al abrir el documento, incluso cuando tenemos deshabilitado el uso de macros (que suelen ser la principal vía de entrada de malware a través de Office). Tal como analizaba en Twitter el grupo de expertos en ciberseguridad Nao_sec, el documento:
Hace uso de la función de 'plantilla remota' de Word para acceder a un fichero HTML de un servidor web remoto.
Éste, a su vez, es capaz de hacer uso de la herramienta de diagnósticos de Microsoft (MSDT) para cargar y ejecutar código PowerShell.
Interesting maldoc was submitted from Belarus. It uses Word's external link to load the HTML and then uses the "ms-msdt" scheme to execute PowerShell code.https://t.co/hTdAfHOUx3 pic.twitter.com/rVSb02ZTwt
— nao_sec (@nao_sec) May 27, 2022
Esto provoca que la infección del equipo del usuario sea inmediata una vez que hemos abierto el documento de Word, por lo que concede al atacante acceso a nuestro sistema Windows, permitiéndole recopilar los 'hashes' de nuestras contraseñas.
En palabras de Kevin Beaumont, experto en ciberseguridad responsable de analizar y bautizar la vulnerabilidad (con el nombre de Follina, en honor a una localidad italiana):
"En mi opinión, estamos ante dos problemas diferentes: el propio Office, que permite cargar plantillas HTML en Word sin filtrar, y la herramienta MSDT, que permite la ejecución de código".
La presencia de la vulnerabilidad ha sido verificada en diversas ediciones de Microsoft Office: Office 2013, 2016, 2019, 2021, Office ProPlus y Office 365 (incluyendo las versiones Insider y Current).
Aquí puedes ver un vídeo de una prueba realizada en un equipo con las últimas versiones de Windows 11 y Office Pro Plus instaladas (en lugar de para ejecutar malware, se aprovecha la vulnerabilidad para forzar la ejecución de la Calculadora de Windows tras la apertura de un documento de Word):
Windows 11 (May) + Office Pro Plus (April)
— Rich Warren (@buffaloverflow) May 29, 2022
+ Preview pane enabled https://t.co/ZIOADQqluo pic.twitter.com/oo0YETlrl4
¿Cómo parchear la vulnerabilidad?
Por ahora Microsoft no ha anunciado en lanzamiento de ningún parche, ni existe ninguna solución oficial a la vulnerabilidad… aunque la compañía 0patch acaba de comunicar la disponibilidad de uno de sus habituales parches no-oficiales (para Windows 7, 10, 11 y Server 2018): su instalación es gratuita, y sólo requiere que contemos con una cuenta de usuario en su plataforma.
Por otro lado, se ha difundido en redes una solución manual alternativa que consiste en desactivar los asistentes de solución de problemas a través de Regedit, accediendo a HKLM\SOFTWARE\Policies\Microsoft\Windows\ScriptedDiagnostics y asignando el valor '0' (deshabilitado) a la variable 'EnableDiagnostics'. Si ésta no existe, deberás crear una variable de tipo REG_DWORD con dicho nombre.
Además, si eres usuario de Defender for Endpoint (una versión avanzada de Microsoft Defender) puedes guardar el siguiente código en las reglas de detección personalizadas del software para que sea capaz de detectar la ejecución del código malicioso que haga uso de esta vulnerabilidad:
DeviceProcessEvents| where ProcessCommandLine contains “msdt.exe”| where InitiatingProcessFileName has_any (@”WINWORD.EXE”, @”EXCEL.EXE”, @”OUTLOOK.EXE”)
Ver 2 comentarios