{"id":24864,"date":"2022-06-07T11:50:45","date_gmt":"2022-06-07T17:50:45","guid":{"rendered":"https:\/\/latam.kaspersky.com\/blog\/?p=24864"},"modified":"2022-06-06T14:52:08","modified_gmt":"2022-06-06T20:52:08","slug":"follina-cve-2022-30190-msdt","status":"publish","type":"post","link":"https:\/\/latam.kaspersky.com\/blog\/follina-cve-2022-30190-msdt\/24864\/","title":{"rendered":"Follina: documentos de MS Office como puerta de entrada"},"content":{"rendered":"

Otra vulnerabilidad seria en los productos de Microsoft fue descubierta por los investigadores. Esta podr\u00eda darles acceso para que ejecuten un c\u00f3digo arbitrario. MITRE nombr\u00f3 dicha vulnerabilidad como CVE-2022-30190<\/a>, no obstante, los investigadores la rebautizaron m\u00e1s po\u00e9ticamente como: Follina. Lo que preocupa m\u00e1s es que a\u00fan no hay ning\u00fan parche para este bug. <\/em>Y lo que es peor, los ciberdelincuentes ya se encuentran explot\u00e1ndola de manera activa. A pesar de que una nueva actualizaci\u00f3n se encuentra en desarrollo, el consejo para todos los usuarios y administradores es que utilicen temporalmente soluciones alternativas.<\/p>\n

\u00bfQu\u00e9 es CVE-2022-30190 y a qu\u00e9 productos afecta?<\/h2>\n

La vulnerabilidad CVE-2022-30190 se localiza en la herramienta Microsoft Windows Support Diagnostic Tool (MSDT). Esto no parece ser gran cosa, pero desgraciadamente, dicha vulnerabilidad puede ser explotada mediante un documento de MS Office malicioso.<\/p>\n

MSDT es una aplicaci\u00f3n utilizada para recabar informaci\u00f3n de diagn\u00f3stico de manera autom\u00e1tica, para posteriormente enviarla a Microsoft cuando algo falla en Windows. La herramienta se puede activar desde otras aplicaciones (el ejemplo m\u00e1s popular es Microsoft Word) mediante un protocolo especial URL MSDT. Si la vulnerabilidad es explotada exitosamente, los atacantes pueden ejecutar c\u00f3digo arbitrario con los privilegios de la aplicaci\u00f3n que activ\u00f3 el MSDT, o sea, en este caso, con los derechos del usuario que abri\u00f3 el archivo malicioso.<\/p>\n

La vulnerabilidad CVE-2022-30190 puede ser explotada en todos los sistemas operativos de Windows, tanto en escritorio como en un servidor.<\/p>\n

C\u00f3mo explotan los atacantes la vulnerabilidad CVE-2022-30190<\/h2>\n

Los investigadores que lo descubrieron describen el siguiente escenario como ejemplo de un ataque: Los atacantes crean un documento malicioso de MS Office y de alguna manera logran que llegue a la v\u00edctima. La forma m\u00e1s com\u00fan de hacerlo es mediante un correo electr\u00f3nico con un archivo adjunto malicioso, adornado con alguna trampa cl\u00e1sica de ingenier\u00eda social para convencer al destinatario de abrir el archivo. Suele ser algo como: \u201cRevisar urgentemente el contrato, se firma ma\u00f1ana por la ma\u00f1ana\u201d.<\/p>\n

El archivo infectado contiene un enlace a un archivo HTML con un c\u00f3digo JavaScript que ejecuta c\u00f3digo malicioso en la l\u00ednea de comandos a trav\u00e9s de MSDT. Cuando la explotaci\u00f3n resulta exitosa, los atacantes toman el control para instalar programas, ver, modificar o destruir datos, as\u00ed como crear nuevas cuentas, o sea, pueden realizar todo lo posible al obtener los privilegios de la v\u00edctima en el sistema.<\/p>\n

C\u00f3mo protegerse<\/h2>\n

Como ya comentamos, no existe un parche todav\u00eda. Mientras tanto, la recomendaci\u00f3n<\/a> de Microsoft es deshabilitar el protocolo URL de MSDT. Para esto, es necesario ejecutar una l\u00ednea de comandos con derechos de administrador y ejecutar el comando <code>reg delete HKEY_CLASSES_ROOT\\ms-msdt \/f<\/code><\/strong><\/em>. \u00a0Antes de esto, es recomendable hacer una copia de seguridad del registro ejecutando <code>reg export HKEY_CLASSES_ROOT\\ms-msdt filename<\/em><\/code><\/strong>. De esta manera, podr\u00e1s restaurar r\u00e1pidamente el registro con el comando <code>reg import filename<\/em><\/code><\/strong> cuando esta soluci\u00f3n ya no sea necesaria.\u00a0\u00a0No obstante, esta soluci\u00f3n solo es temporal y, en cuanto est\u00e9 disponible, ser\u00e1 necesario instalar la actualizaci\u00f3n que cierre la vulnerabilidad de Follina.<\/p>\n

Los m\u00e9todos descritos para explotar esta vulnerabilidad implican el uso de correos electr\u00f3nicos con archivos adjuntos maliciosos y m\u00e9todos de ingenier\u00eda social. Por tanto, la recomendaci\u00f3n es tener m\u00e1s cuidado de lo habitual con los correos electr\u00f3nicos de remitentes desconocidos, especialmente si contienen documentos de MS Office adjuntos. En cuanto a las empresas, recomendamos informar de forma peri\u00f3dica a los empleados<\/a> sobre los trucos m\u00e1s comunes de los hackers.<\/p>\n

Adem\u00e1s, todos los dispositivos con acceso a Internet deben estar equipados con soluciones de seguridad robustas<\/a>. Estas soluciones pueden evitar que un c\u00f3digo malicioso sea ejecutado en el equipo de un usuario, incluso si se trata de una vulnerabilidad desconocida.<\/p>\n

\"\"<\/a><\/p>\n

\u00a0<\/p>\n","protected":false},"excerpt":{"rendered":"

La nueva vulnerabilidad CVE-2022-30190, conocida como Follina, permite la explotaci\u00f3n de la herramienta Microsoft Support Diagnostic Tool mediante los archivos de MS Office.<\/p>\n","protected":false},"author":2698,"featured_media":24866,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[2795,3539,3540],"tags":[3913,49,3914,647,79],"class_list":{"0":"post-24864","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-business","8":"category-enterprise","9":"category-smb","10":"tag-dia0","11":"tag-microsoft","12":"tag-rce","13":"tag-vulnerabilidades","14":"tag-windows"},"hreflang":[{"hreflang":"es-mx","url":"https:\/\/latam.kaspersky.com\/blog\/follina-cve-2022-30190-msdt\/24864\/"},{"hreflang":"en-in","url":"https:\/\/www.kaspersky.co.in\/blog\/follina-cve-2022-30190-msdt\/24226\/"},{"hreflang":"en-ae","url":"https:\/\/me-en.kaspersky.com\/blog\/follina-cve-2022-30190-msdt\/19707\/"},{"hreflang":"ar","url":"https:\/\/me.kaspersky.com\/blog\/follina-cve-2022-30190-msdt\/9931\/"},{"hreflang":"en-us","url":"https:\/\/usa.kaspersky.com\/blog\/follina-cve-2022-30190-msdt\/26554\/"},{"hreflang":"en-gb","url":"https:\/\/www.kaspersky.co.uk\/blog\/follina-cve-2022-30190-msdt\/24512\/"},{"hreflang":"es","url":"https:\/\/www.kaspersky.es\/blog\/follina-cve-2022-30190-msdt\/27225\/"},{"hreflang":"it","url":"https:\/\/www.kaspersky.it\/blog\/follina-cve-2022-30190-msdt\/26749\/"},{"hreflang":"ru","url":"https:\/\/www.kaspersky.ru\/blog\/follina-cve-2022-30190-msdt\/33255\/"},{"hreflang":"tr","url":"https:\/\/www.kaspersky.com.tr\/blog\/follina-cve-2022-30190-msdt\/10743\/"},{"hreflang":"x-default","url":"https:\/\/www.kaspersky.com\/blog\/follina-cve-2022-30190-msdt\/44461\/"},{"hreflang":"fr","url":"https:\/\/www.kaspersky.fr\/blog\/follina-cve-2022-30190-msdt\/18969\/"},{"hreflang":"de","url":"https:\/\/www.kaspersky.de\/blog\/follina-cve-2022-30190-msdt\/28760\/"},{"hreflang":"nl","url":"https:\/\/www.kaspersky.nl\/blog\/follina-cve-2022-30190-msdt\/28301\/"},{"hreflang":"ru-kz","url":"https:\/\/blog.kaspersky.kz\/follina-cve-2022-30190-msdt\/25076\/"},{"hreflang":"en-au","url":"https:\/\/www.kaspersky.com.au\/blog\/follina-cve-2022-30190-msdt\/30588\/"},{"hreflang":"en-za","url":"https:\/\/www.kaspersky.co.za\/blog\/follina-cve-2022-30190-msdt\/30337\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/latam.kaspersky.com\/blog\/tag\/vulnerabilidades\/","name":"vulnerabilidades"},"_links":{"self":[{"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/posts\/24864","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/users\/2698"}],"replies":[{"embeddable":true,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/comments?post=24864"}],"version-history":[{"count":3,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/posts\/24864\/revisions"}],"predecessor-version":[{"id":24869,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/posts\/24864\/revisions\/24869"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/media\/24866"}],"wp:attachment":[{"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/media?parent=24864"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/categories?post=24864"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/tags?post=24864"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}