Follina: documentos de MS Office como puerta de entrada

La nueva vulnerabilidad CVE-2022-30190, conocida como Follina, permite la explotación de la herramienta Microsoft Support Diagnostic Tool mediante los archivos de MS Office.

Otra vulnerabilidad seria en los productos de Microsoft fue descubierta por los investigadores. Esta podría darles acceso para que ejecuten un código arbitrario. MITRE nombró dicha vulnerabilidad como CVE-2022-30190, no obstante, los investigadores la rebautizaron más poéticamente como: Follina. Lo que preocupa más es que aún no hay ningún parche para este bug. Y lo que es peor, los ciberdelincuentes ya se encuentran explotándola de manera activa. A pesar de que una nueva actualización se encuentra en desarrollo, el consejo para todos los usuarios y administradores es que utilicen temporalmente soluciones alternativas.

¿Qué es CVE-2022-30190 y a qué productos afecta?

La vulnerabilidad CVE-2022-30190 se localiza en la herramienta Microsoft Windows Support Diagnostic Tool (MSDT). Esto no parece ser gran cosa, pero desgraciadamente, dicha vulnerabilidad puede ser explotada mediante un documento de MS Office malicioso.

MSDT es una aplicación utilizada para recabar información de diagnóstico de manera automática, para posteriormente enviarla a Microsoft cuando algo falla en Windows. La herramienta se puede activar desde otras aplicaciones (el ejemplo más popular es Microsoft Word) mediante un protocolo especial URL MSDT. Si la vulnerabilidad es explotada exitosamente, los atacantes pueden ejecutar código arbitrario con los privilegios de la aplicación que activó el MSDT, o sea, en este caso, con los derechos del usuario que abrió el archivo malicioso.

La vulnerabilidad CVE-2022-30190 puede ser explotada en todos los sistemas operativos de Windows, tanto en escritorio como en un servidor.

Cómo explotan los atacantes la vulnerabilidad CVE-2022-30190

Los investigadores que lo descubrieron describen el siguiente escenario como ejemplo de un ataque: Los atacantes crean un documento malicioso de MS Office y de alguna manera logran que llegue a la víctima. La forma más común de hacerlo es mediante un correo electrónico con un archivo adjunto malicioso, adornado con alguna trampa clásica de ingeniería social para convencer al destinatario de abrir el archivo. Suele ser algo como: “Revisar urgentemente el contrato, se firma mañana por la mañana”.

El archivo infectado contiene un enlace a un archivo HTML con un código JavaScript que ejecuta código malicioso en la línea de comandos a través de MSDT. Cuando la explotación resulta exitosa, los atacantes toman el control para instalar programas, ver, modificar o destruir datos, así como crear nuevas cuentas, o sea, pueden realizar todo lo posible al obtener los privilegios de la víctima en el sistema.

Cómo protegerse

Como ya comentamos, no existe un parche todavía. Mientras tanto, la recomendación de Microsoft es deshabilitar el protocolo URL de MSDT. Para esto, es necesario ejecutar una línea de comandos con derechos de administrador y ejecutar el comando <code>reg delete HKEY_CLASSES_ROOT\ms-msdt /f</code>.  Antes de esto, es recomendable hacer una copia de seguridad del registro ejecutando <code>reg export HKEY_CLASSES_ROOT\ms-msdt filename</code>. De esta manera, podrás restaurar rápidamente el registro con el comando <code>reg import filename</code> cuando esta solución ya no sea necesaria.  No obstante, esta solución solo es temporal y, en cuanto esté disponible, será necesario instalar la actualización que cierre la vulnerabilidad de Follina.

Los métodos descritos para explotar esta vulnerabilidad implican el uso de correos electrónicos con archivos adjuntos maliciosos y métodos de ingeniería social. Por tanto, la recomendación es tener más cuidado de lo habitual con los correos electrónicos de remitentes desconocidos, especialmente si contienen documentos de MS Office adjuntos. En cuanto a las empresas, recomendamos informar de forma periódica a los empleados sobre los trucos más comunes de los hackers.

Además, todos los dispositivos con acceso a Internet deben estar equipados con soluciones de seguridad robustas. Estas soluciones pueden evitar que un código malicioso sea ejecutado en el equipo de un usuario, incluso si se trata de una vulnerabilidad desconocida.

 

Consejos