Conclusiones principales
- La vulnerabilidad permite ejecutar código al abrir un documento malicioso de MS Office.
- Se detecto la explotación activa de esta vulnerabilidad en una serie de ataques recientes.
- No existe CVE asignado ni parche de seguridad oficial de Microsoft.
- Se esperan nuevos ataques utilizando este vector.
ACTUALIZACION 31/05/2022 /////////////////////////////////////////////////////////
Microsoft ha publicado una alerta oficial para la vulnerabilidad CVE-2022-30190.
/////////////////////////////////////////////////////////////////////////////////////////////////////
Resumen general
El 29 de mayo de 2022, el equipo de investigadores en Ciberseguridad @Nao_Sec, descubrió un documento de Microsoft Office malicioso, que fue compartido en la plataforma de VirusTotal. Este documento utilizaba un método de infección inusual, pero conocido, el que además logró evadir la detección de Microsoft Defender y algunos EDR.
La vulnerabilidad se basa en un «nuevo» vector de ataque a través del protocolo «ms-msdt», que puede conducir a la ejecución remota de código sin necesidad de interacción por parte del usuario, ya que no involucra macros, e incluso, podría ser ejecutada desde la vista previa del documento (para los .rft).
Los documentos en cuestión, utilizan la funcionalidad de plantilla remota para cargar el payload (HTML) desde una URL maliciosa, este archivo hace uso del handler «ms-msdt» para abrir Microsoft Support Diagnostics Tool (msdt.exe), herramienta legítima que permite ejecutar comandos a través de sus parametros (tipo LOLBIN).
Se puede analizar parte del comportamiento ejecutando el siguiente comando:
msdt.exe ms-msdt:/id PCWDiagnostic /skip force /param "IT_RebrowseForFile=cal?c IT_SelectProgram=NotListed IT_BrowseForFile=h$(IEX('calc.exe'))i/../../../../../../../../../../../../../../Windows/System32/mpsigstub.exe"Ejemplo:
A continuación, podemos ver dos POC del ataque realizadas por @_JohnHammond.
Aún no hay certeza, pero según las pruebas que se están informando, este fallo podría afectar a la gran mayoría de versiones de Microsoft Office.
Recomendaciones
- Reforzar los protocolos de seguridad frente a documentos de Microsoft Office adjuntos en correos electrónicos sospechosos o no solicitados.
- Mantener las plataformas de seguridad y sus reglas de detección al día.
- En el caso de que un usuario abra un documento e inmediatamente se inicie la utilidad para «solucionar problemas de compatibilidad» se debe activar el protocolo de respuesta a incidentes.
- Mantener activadas todas las configuraciones de seguridad en MS Office, especialmente la ‘vista protegida’.
Monitoreo y detección:
CronUp recomienda encarecidamente la supervisión de comportamientos sospechosos de los productos de Microsoft Office, por ejemplo, el proceso msdt.exe no debe ser generado desde productos de Office como words.exe, outlook.exe o excel.exe.
Algunos investigadores han publicado reglas de monitoreo para diferentes tecnologías:
Workarounds
1.- Como solución alternativa o temporal, el investigador Didier Stevens propuso eliminar el handler «ms-msdt» en los registros de Windows. Aunque esto podría impedir el funcionamiento de aplicaciones legítimas, es muy dificil ver aplicaciones que lo utilicen. Jake Williams compartió una manera sencilla de hacer lo anterior a través del comando:
reg delete hkcr\ms-msdt /f2.- El Banco de Francia compatió además, un método para desactivar «Microsoft Windows Troubleshooting Wizard» a través de GPO:
HKLM\SOFTWARE\Policies\Microsoft\Windows\ScriptedDiagnostics - EnableDiagnostics - 0Más referencias
- Follina — a Microsoft Office code execution vulnerability | by Kevin Beaumont | May, 2022 | DoublePulsar
- https://msrc-blog.microsoft.com/2022/05/30/guidance-for-cve-2022-30190-microsoft-support-diagnostic-tool-vulnerability/
- https://isc.sans.edu/diary/28694
- https://www.bleepingcomputer.com/news/security/new-microsoft-office-zero-day-used-in-attacks-to-execute-powershell/
- https://media.cert.europa.eu/static/SecurityAdvisories/2022/CERT-EU-SA2022-039.pdf
- https://www.huntress.com/blog/microsoft-office-remote-code-execution-follina-msdt-bug
Estaremos actualizando esta entrada en la medida que se obtengan nuevos antecedentes.
Threat Researcher en CronUp Ciberseguridad
Líder Red Team & Cyber Threat Intelligence.
