[Update] Documento podría explotar vulnerabilidad de día cero de MS Office

Diversos investigadores de ciberseguridad emitieron una advertencia luego de detectar una nueva vulnerabilidad de día cero de Microsoft Office que puede haber sido explotada en la naturaleza. El 27 de mayo, un investigador que usa el apodo en línea “nao_sec” informó en Twitter que había encontrado un documento malicioso -que le causó interés- en el […]

Diversos investigadores de ciberseguridad emitieron una advertencia luego de detectar una nueva vulnerabilidad de día cero de Microsoft Office que puede haber sido explotada en la naturaleza.

El 27 de mayo, un investigador que usa el apodo en línea “nao_sec” informó en Twitter que había encontrado un documento malicioso -que le causó interés- en el servicio de escaneo de malware VirusTotal.

El archivo de Word malicioso, cargado desde Bielorrusia, está diseñado para ejecutar código PowerShell arbitrario cuando se abre.

El malware fue analizado más tarde por otros investigadores. Kevin Beaumont, quien subió una publicación de blog, detalló sus hallazgos el domingo pasado.

“El documento usa la función de plantilla remota de Word para recuperar un archivo HTML de un servidor web remoto, que a su vez usa el esquema de URI de MSProtocol ms-msdt para cargar un código y ejecutar algo de PowerShell”, explicó Beaumont, y agregó: “Eso no debería ser posible.”

El investigador señaló que el código se ejecuta incluso si las macros están deshabilitadas; los documentos de Word maliciosos generalmente se usan para la ejecución del código a través de macros. Actualmente, Microsoft Defender no parece ser capaz de evitar la ejecución.

“La Vista protegida se activa, aunque si cambia el documento a formato RTF, se ejecuta sin siquiera abrir el documento (a través de la pestaña de vista previa en el Explorador), y mucho menos la Vista protegida”, dijo Beaumont.

El investigador decidió llamar a la vulnerabilidad de día cero “Follina” porque el archivo malicioso hace referencia a 0438, que es el código de área de Follina, un pueblo de Italia.

Aproximadamente un tercio de los proveedores de VirusTotal detectan el documento malicioso en el momento de la redacción.

Beaumont y otros, incluidos Didier Stevens y Rich Warren de NCC Group, han confirmado que el exploit de día cero de Follina se puede usar para ejecutar de forma remota código arbitrario en sistemas que ejecutan varias versiones de Windows y Office. Se ha probado con Office Pro Plus, Office 2013, Office 2016 y Office 2021.

Beaumont señaló que el exploit no parece funcionar contra las últimas versiones Insider y Current de Office, lo que indica que Microsoft puede estar trabajando en reparar la falla, o que se deben realizar algunas modificaciones en el exploit.

Actualización del caso:

Microsoft ha compartido medidas de mitigación para bloquear ataques que explotan una falla de día cero de Microsoft Office recientemente descubierta y abusada en la naturaleza para ejecutar código malicioso de forma remota.

El error es una vulnerabilidad de ejecución remota de código de Microsoft Windows Support Diagnostic Tool (MSDT) informada por crazyman of the Shadow Chaser Group.

Microsoft ahora lo está rastreando como CVE-2022-30190. La falla afecta a todas las versiones de Windows que aún reciben actualizaciones de seguridad (Windows 7+ y Server 2008+).

Como descubrió el investigador de seguridad nao_sec, los actores de amenazas lo utilizan para ejecutar comandos maliciosos de PowerShell a través de MSDT en lo que Redmond describe como ataques de ejecución de código arbitrario (ACE) al abrir o previsualizar documentos de Word.

“Un atacante que explota con éxito esta vulnerabilidad puede ejecutar código arbitrario con los privilegios de la aplicación que llama”, explica Microsoft.

“El atacante puede luego instalar programas, ver, cambiar o eliminar datos, o crear nuevas cuentas en el contexto permitido por los derechos del usuario”.