Imagen: Adobe Stock

CVE-2022-30190, también conocida como "Follina", es una vulnerabilidad de ejecución remota de código (RCE) que afecta a Microsoft Office, informada el 27 de mayo de 2022.

Índice

¿Cómo pueden los atacantes aprovechar la vulnerabilidad de Follina?

El camino es el siguiente:

  • Un archivo .DOC de Microsoft Office creado por un atacante se envía a un objetivo.
  • El archivo .DOC hace referencia a un enlace HTTPS: que conduce a un archivo HTML que contiene código JavaScript ofuscado.
  • El código JavaScript hace referencia a otro enlace con un MS-MSDT: ID en lugar del HTTPS: ID habitual.
  • Los sistemas operativos Windows abren la Herramienta de diagnóstico de soporte de Microsoft (MSDT) y ejecutan el código en el enlace proporcionado.
  • Según el código que se ejecute en el sistema de destino, el atacante puede facilitar un mayor compromiso o tomar el control del sistema afectado.

Por lo tanto, la vulnerabilidad de Follina puede activarse fácilmente mediante el envío de correos electrónicos de phishing a los objetivos, ya sea que contengan el archivo .DOC malicioso o un enlace que conduzca a él.

¿Qué tan peligrosa es Follina?

Nikolas Cemerikic, ingeniero de ciberseguridad, Immersive Labs, dice:

"Lo que distingue a Follina es que este exploit no aprovecha las macros de Office y, por lo tanto, funciona incluso en entornos donde las macros se han deshabilitado por completo. Un usuario abre y ve el documento de Word, o obtiene una vista previa del documento usando el panel de vista previa del Explorador de Windows. este último no requiere que Word se inicie por completo, esto se convierte efectivamente en un clic de ataque 0.

Cemerikic agrega que “esta vulnerabilidad no es específicamente sinónimo de Microsoft Word o Outlook. Aunque los únicos casos registrados hasta la fecha de esta vulnerabilidad que se han explotado en la naturaleza se han explotado mediante el uso de Microsoft Word y Outlook, en teoría, cualquier producto de escritorio que maneje relaciones oleObject es vulnerable. Dado que las relaciones de oleObject no son específicas de Word, es probable que en el futuro también veamos esta vulnerabilidad explotada en otras aplicaciones de Office.

Además, según Huntress, es posible activar la vulnerabilidad sin abrir el archivo, creando un archivo .RTF específico que se mostraría en el panel de vista previa del Explorador de Windows. Esto hace que esta vulnerabilidad sea aún más peligrosa.

VER: Política de seguridad de dispositivos móviles (Premium de TechRepublic)

Ataques en estado salvaje desde marzo de 2022

Sekoia informa varios casos de ataques en estado salvaje que explotan la vulnerabilidad de Follina, y es probable que los primeros ataques sean realizados por actores de amenazas APT chinos.

Se han encontrado algunos documentos que apuntan a empresas o individuos nepaleses.

Otro documento, titulado “CSAFP'S_GUIDANCE_RE_NATIONAL_AND_LOCAL_ELECTION_2022_NLE.docx” apunta a varias divisiones de las Fuerzas Armadas, haciéndose pasar por las Fuerzas Armadas de Filipinas (Figura A).

Figura A

Documento malicioso que demuestra la vulnerabilidad de Follina.
Imagen: TechRepublic. Archivo malicioso haciéndose pasar por las Fuerzas Armadas de Filipinas enviado a otras divisiones de las Fuerzas Armadas

Sekoia informa además que solo pudieron recuperar una carga útil aún viva en el momento de su búsqueda, que descargó un código shell codificado que, cuando se decodificó, parecía ser una baliza Cobalt Strike. Sekoia conoce la dirección IP desde la que se descargó el shellcode como el servidor PlugX C2, PlugX (también conocido como KorPlug) es un malware de tipo troyano utilizado por varios jugadores chinos en la amenaza APT.

Además, Proofpoint informa en Twitter que el actor de amenazas chino TA413 ha sido descubierto explotando la vulnerabilidad de Follina, utilizando archivos Zip que contienen documentos de Word maliciosos en una campaña de ataque haciéndose pasar por el "Mesa de Empoderamiento de la Mujer" de la Administración Central Tibetana (Figura B) .

Figura B

Tweet de un ciberatacante chino que explota a Follina.
Imagen: Twitter. El actor de amenazas chino TA413 explota la vulnerabilidad de Follina con un documento que se hace pasar por el "Escritorio de empoderamiento de las mujeres" de los tibetanos.

VER: Violación de contraseña: por qué la cultura pop y las contraseñas no se mezclan (PDF gratuito) (República Tecnológica)

¿Cómo detectar la vulnerabilidad y protegerse contra ella?

La explotación de la vulnerabilidad se puede detectar cuando se ejecuta el binario legítimo msdt.exe con el argumento IT_BrowseForFile que contiene la secuencia de cadenas $(.

Otra detección que se puede usar es detectar la generación de sdiagnhost.exe con un conhost.exe secundario y sus procesos de carga útiles posteriores.

Microsoft ha publicado una guía alternativa que implica deshabilitar el protocolo URL de MSDT directamente en el registro.

También se recomienda deshabilitar los "asistentes de solución de problemas" en el registro.

Los proveedores de seguridad y antivirus también están trabajando activamente para mejorar la detección de la vulnerabilidad de Follina, por lo que es recomendable mantenerse actualizado sobre todos los productos de seguridad y soluciones antivirus.

Además, no se recomienda abrir ni obtener una vista previa de ningún archivo .DOC/.DOCX recibido a través de un canal inusual: remitente de correo electrónico desconocido o mensaje de IM desconocido, por ejemplo. También se recomienda no abrir ni obtener una vista previa de los documentos .RTF que se recibirían.

Divulgación: Trabajo para Trend Micro, pero las opiniones expresadas en este artículo son mías.