Blog

Nuevo Zero-Day RCE en Microsoft Office (aka ‘Follina’), ya está siendo utilizado por atacantes.

Conclusiones principales

  • La vulnerabilidad permite ejecutar código al abrir un documento malicioso de MS Office.
  • Se detecto la explotación activa de esta vulnerabilidad en una serie de ataques recientes.
  • No existe CVE asignado ni parche de seguridad oficial de Microsoft.
  • Se esperan nuevos ataques utilizando este vector.

ACTUALIZACION 31/05/2022 /////////////////////////////////////////////////////////

Microsoft ha publicado una alerta oficial para la vulnerabilidad CVE-2022-30190.

/////////////////////////////////////////////////////////////////////////////////////////////////////

Resumen general

El 29 de mayo de 2022, el equipo de investigadores en Ciberseguridad @Nao_Sec, descubrió un documento de Microsoft Office malicioso, que fue compartido en la plataforma de VirusTotal. Este documento utilizaba un método de infección inusual, pero conocido, el que además logró evadir la detección de Microsoft Defender y algunos EDR.

La vulnerabilidad se basa en un «nuevo» vector de ataque a través del protocolo «ms-msdt», que puede conducir a la ejecución remota de código sin necesidad de interacción por parte del usuario, ya que no involucra macros, e incluso, podría ser ejecutada desde la vista previa del documento (para los .rft).

Los documentos en cuestión, utilizan la funcionalidad de plantilla remota para cargar el payload (HTML) desde una URL maliciosa, este archivo hace uso del handler «ms-msdt» para abrir Microsoft Support Diagnostics Tool (msdt.exe), herramienta legítima que permite ejecutar comandos a través de sus parametros (tipo LOLBIN).

Se puede analizar parte del comportamiento ejecutando el siguiente comando:

msdt.exe ms-msdt:/id PCWDiagnostic /skip force /param "IT_RebrowseForFile=cal?c IT_SelectProgram=NotListed IT_BrowseForFile=h$(IEX('calc.exe'))i/../../../../../../../../../../../../../../Windows/System32/mpsigstub.exe"

Ejemplo:

A continuación, podemos ver dos POC del ataque realizadas por @_JohnHammond.

Aún no hay certeza, pero según las pruebas que se están informando, este fallo podría afectar a la gran mayoría de versiones de Microsoft Office.

Recomendaciones

  • Reforzar los protocolos de seguridad frente a documentos de Microsoft Office adjuntos en correos electrónicos sospechosos o no solicitados.
  • Mantener las plataformas de seguridad y sus reglas de detección al día.
  • En el caso de que un usuario abra un documento e inmediatamente se inicie la utilidad para «solucionar problemas de compatibilidad» se debe activar el protocolo de respuesta a incidentes.
  • Mantener activadas todas las configuraciones de seguridad en MS Office, especialmente la ‘vista protegida’.

Monitoreo y detección:

CronUp recomienda encarecidamente la supervisión de comportamientos sospechosos de los productos de Microsoft Office, por ejemplo, el proceso msdt.exe no debe ser generado desde productos de Office como words.exe, outlook.exe o excel.exe.

Algunos investigadores han publicado reglas de monitoreo para diferentes tecnologías:

Workarounds

1.- Como solución alternativa o temporal, el investigador Didier Stevens propuso eliminar el handler «ms-msdt» en los registros de Windows. Aunque esto podría impedir el funcionamiento de aplicaciones legítimas, es muy dificil ver aplicaciones que lo utilicen. Jake Williams compartió una manera sencilla de hacer lo anterior a través del comando:

reg delete hkcr\ms-msdt /f

2.- El Banco de Francia compatió además, un método para desactivar «Microsoft Windows Troubleshooting Wizard» a través de GPO:

HKLM\SOFTWARE\Policies\Microsoft\Windows\ScriptedDiagnostics - EnableDiagnostics - 0

Más referencias

Estaremos actualizando esta entrada en la medida que se obtengan nuevos antecedentes.

Artículos Relacionados

Protege tus aplicaciones Web y API

Accede a una evaluación completamente funciona

La primera solución completa que cubre los errores de seguridad y fallas de la lógica empresarial en todo el SDLC
Ir al Demo
Alterta Temprana de Riesgos
Reduce tu ventana de exposición al riesgo a las amenazas externas, mejorando la eficiencia en la detección y respuesta ante ciberamenazas.
Más Info
Hdiv - Protege tus aplicaciones Web y API
La primera solución completa que cubre los errores de seguridad y fallas de la lógica empresarial en todo el SDLC
Accede al Demo Gratuito
Protección de Dominios - Sendmarc
Evita y protege activamente los dominios de tu organización contra los ataques de suplantación de identidad y phishing
Más Info
Endpoint - Panda Security
Endpoint Protection Platform, EDR y Servicios de 100% Atestación y Threat Hunting integrado
Más Info

Últimos Artículos

Hablemos

Si tienes alguna duda o pregunta con nuestros servicios, puedes comunicarte directamente con nosotros o completar el formulario, y nos pondremos en contacto contigo en breve.

Email

contacto@cronup.com

Ubicación

Providencia, Santiago de Chile

Twitter

@Cronup_CyberSec

Linkedin

Cronup Ciberseguridad

CronUp Newsletter

Suscríbete a nuestro resumen semanal de noticias y alertas de seguridad para mantenerte actualizado sobre el panorama de amenazas en la región y el mundo.

* indicates required