Una nueva vulnerabilidad registrada como CVE-2022-30190 denominada "Follina", permite la explotación de la herramienta Microsoft Support Diagnostic Tool mediante los archivos MS Office.
La compañía japonesa Nao Sec publicaba recientemente un tweet en el que alertaba de la identificación de un maldoc proveniente de Bielorrusia que usaba un enlace a una web externa para cargar un HTML y posteriormente el esquema de "ms-msdt" para ejecutar powershell. Se trataba de un 0-day que fue bautizado como Follina porque el código de la muestra obtenida hacía referencia a 0438, que es el prefijo telefonico de esa localidad de Treviso en Italia.
Lo preocupante de esta nueva vulnerabilidad es que aun no hay ningún parche para este bug. Los ciberdelincuentes no dejan pasar esta oportunidad y se encuentran explotándola para tener acceso a los equipos de forma no autorizada, aunque se encuentra en desarrollo la nueva actualización, se aconseja a todos los usuarios que utilicen Office las soluciones alternativas temporalmente.
Pero a todo esto, ¿Qué es Follina y como funciona ?
Esta vulnerabilidad se encuentra en la herramienta Microsoft Windows Support Diagnostic Tool (MSDT). Al parecer no parece un gran problema, pero por desgracia, debido a que se implemento esta herramienta, la infección puede darse a través de un documento MS Office infectado.
Esto nos lleva a otra pregunta.. ¿Qué es la herramienta Microsoft Windows Support Diagnostic (MSDT) ?
La herramienta de diagnóstico de soporte de Microsoft (MSDT) es un servicio en Windows 11/10/8.1/7 y Windows Server . La herramienta permite a los representantes de soporte de Microsoft analizar datos de diagnóstico y encontrar una solución a los problemas experimentados por los usuarios.
¿Cómo es que los atacantes están explotando esta vulnerabilidad?
Para esto, los investigadores han comentado lo siguiente: Los atacantes crean un documento malicioso Office y de alguna manera se lo hacen llegar a la víctima, normalmente se hace por correo electrónico. Utilizan un poco de ingeniería social para que la víctima abra el documento, pueden utilizar frases como: "Urgente Revisar este Documento".
Es allí donde el archivo infectado contiene un link HTML el cual ejecuta código Javascript en la línea de comandos vía MSDT, pudiendo instalar programas, ver, modificar o eliminar datos, cualquier cosa es posible armado con los privilegios de la víctima.
¿Cómo podemos protegernos?
Deshabilitar el protocolo URL de MSDT
Una de las alternativas es desactivar el protocolo URL de MSDT para evitar que los solucionadores de problemas se inicien como enlaces, incluidos enlaces a todo el sistema operativo.
Para esto podemos hacer lo siguiente:
Ejecutar el simobolo del sistema como administrador
Para hacer una copia de seguridad de la clave de registro, ejecute el comando "reg export HKEY_CLASSES_ROOT\ms-msdt filename "
Ejecute el comando "reg delete HKEY_CLASSES_ROOT\ms-msdt /f".
Si queremos deshacer los cambios en el futuro, solamente debemos realizar lo siguiente:
Ejecute el símbolo del sistema como administrador .
Para restaurar la clave de registro, ejecute el comando "reg import filename"
Detecciones y protecciones de Microsoft Defender
Las personas que sean clientes de Microsoft Defender Antivirus deben de activar la protección en la nube y el envió automatico de muestras. Estas capacidades utilizan inteligencia artificial y aprendizaje automatico los cuales estan en constante analisis para identificar las nuevas amenazas.
El antivirus de Microsoft defender proporciona detecciones y protecciones para la posible explotación de vulnerabilidades bajo las siguientes firmas con la compilación de detección 1.367.851.0 o superior:
Trojan:Win32/Mesdetty.A (bloquea la línea de comandos de msdt)
Trojan:Win32/Mesdetty.B (bloquea la línea de comandos de msdt)
Comportamiento: Win32/MesdettyLaunch.A!blk (finaliza el proceso que inició la línea de comandos de msdt)
Trojan:Win32/MesdettyScript.A (para detectar archivos HTML que contienen comandos sospechosos de msdt que se descartan)
Trojan:Win32/MesdettyScript.B (para detectar archivos HTML que contienen comandos sospechosos de msdt que se descartan)
Fuente:
Comentários