Fecha de publicación: Lun, 30/05/2022 - 18:10

Alerta de seguridad

Nivel de peligrosidad: Crítico

Descripción

El equipo de investigadores de Ciberseguridad Nao_sec identificó un documento de Word de aspecto extraño, descargado desde una dirección IP en Bielorrusia, se trata de un zero day que permite la ejecución de código remoto en los productos de Office sin la utilización de macros. El investigador Kevin Beaumont bautizó el fallo como "Follina", porque la muestra del archivo hace referencia a 0438, que es el código postal de Follina, Treviso en Italia.

El documento identificado usa la función de plantilla remota de Word para recuperar un archivo HTML de un servidor web, que a su vez usa el esquema de URI ms-msdt para cargar código y ejecutar PowerShell.

Un archivo de formato de texto enriquecido (.RTF) podría desencadenar la invocación de este exploit con solo el Panel de vista previa dentro del Explorador de Windows, al igual que CVE-2021-40444, esto amplía la gravedad de esta amenaza no solo con un clic único para explotar, sino potencialmente con un desencadenante sin clic. Atacantes podrían embeber enlaces maliciosos dentro de los documentos de Microsoft Office, plantillas o correos electrónicos iniciando con ms-msdt: que podría ser cargado y ejecutado después sin interacción del usuario, excepto si la protección de modo vista está habilitado.

Recursos afectados

Todavía no está claro qué productos y versiones se ven afectados. Sin embargo, los investigadores tienden a pensar que la mayoría de las versiones de Microsoft Office son vulnerables.

Mitigación

Todavía no hay ningún comunicado oficial de Microsoft. Sin embargo, es seguro asumir que la Vista Protegida es una primera barrera que debe ser aplicada.

Prueba de concepto

Se han hecho públicas diferentes pruebas de concepto que aprovechan la vulnerabilidad.

Recomendaciones

No descargar archivos Office que provengan de fuentes de dudosa procedencia, debido a que existen campañas activas de explotación.

Aplicar reglas de reducción de la superficie de ataque (ASR) de Microsoft Defender, la activación de la regla "Bloquear todas las aplicaciones de Office para que no creen procesos secundarios" en el modo de bloqueo evitará que se explote.

Estar atentos a la publicación de contramedidas temporales o la publicación de parches de seguridad por Microsoft.

Referencias

Exploit de día cero encontrado en Office