Piratas informáticos respaldados por China están aprovechando una vulnerabilidad de día cero de Microsoft Office sin parchear, conocida como «Follina«, para ejecutar código malicioso de forma remota en sistemas Windows.
La vulnerabilidad de alta gravedad -rastreada como CVE-2022-30190– se está utilizando en los ataques para ejecutar comandos PowerShell maliciosos a través de la Herramienta de Diagnóstico de Microsoft (MSDT) al abrir o previsualizar documentos de Office especialmente diseñados. El fallo, que afecta a 41 productos de Microsoft, incluidos Windows 11 y Office 365, funciona sin privilegios elevados, elude la detección de Windows Defender y no necesita que el código de macros esté habilitado para ejecutar binarios o scripts.
El día cero también puede eludir la función de Vista Protegida de Microsoft, una herramienta de Office que advierte sobre archivos y documentos potencialmente maliciosos. Los investigadores de Huntress advirtieron que la conversión del documento a un archivo de formato de texto enriquecido (RTF) podría permitir a los atacantes eludir esta advertencia y también permite activar el exploit con una vista previa de un archivo descargado que no requiere ningún clic.
Microsoft ha advertido que el fallo podría permitir a los actores de la amenaza instalar programas, eliminar datos y crear nuevas cuentas en el contexto permitido por los derechos del usuario.
Los investigadores de ciberseguridad observaron que los hackers explotaban el fallo para atacar a usuarios rusos y bielorrusos desde abril, y la empresa de seguridad Proofpoint dijo esta semana que un grupo de hackers patrocinado por el estado chino ha estado explotando el día cero en ataques dirigidos a la comunidad internacional del Tíbet.
Día cero Follina utilizando URLs para entregar archivos ZIP
«TA413 CN APT explotando el día cero Follina utilizando URLs para entregar archivos ZIP que contienen documentos de Word que utilizan la técnica», dijo Proofpoint en un tweet. «Las campañas se hacen pasar por el ‘Women Empowerments Desk’ de la Administración Central del Tíbet y utilizan el dominio tibet-gov.web[.]app«.
Proofpoint dice que ha observado previamente al actor de la amenaza TA413 -también rastreado como «LuckyCat» y «Earth Berberoka«- dirigiéndose a organizaciones tibetanas mediante el uso de extensiones de navegador maliciosas y campañas de espionaje con temática COVID-19.
El día cero Follina se comunicó inicialmente a Microsoft el 12 de abril, después de que se descubrieran documentos de Word -que simulaban ser de la agencia de noticias rusa Sputnik y ofrecían a los destinatarios una entrevista radiofónica- que abusaban del fallo en la naturaleza. Sin embargo, el investigador que notificó por primera vez el día cero, el grupo Shadow Chaser, dijo que Microsoft inicialmente etiquetó el fallo como un «problema relacionado con la seguridad«. Más tarde, el gigante tecnológico informó al investigador de que el «problema se ha solucionado«, pero no parece que haya un parche disponible.
TechCrunch preguntó a Microsoft cuándo se publicaría un parche, pero la empresa no respondió. Sin embargo, la compañía ha publicado una nueva guía que aconseja a los administradores que pueden bloquear los ataques que explotan CVE-2022-30190 deshabilitando el protocolo de URL MSDT, junto con el panel de vista previa en el Explorador de Windows.
La Agencia de Ciberseguridad y Seguridad de las Infraestructuras de Estados Unidos (CISA) emitió el martes una alerta en la que instaba a los usuarios y administradores a revisar las directrices de Microsoft y aplicar las soluciones necesarias.
