Los ciberdelincuentes están explotando una vulnerabilidad de Día Cero, denominada Follina, que les permite ejecutar código de forma remota en la suite de Microsoft Office.
La vulnerabilidad CVE-2022-30190, que los expertos denominan Follina, se ha detectado en el protocolo URL Microsoft Support Diagnostic Tool (MSDT) y afecta al paquete de ofimática Microsoft Office.
Se trata de una vulnerabilidad de Día Cero que puede actuar, aunque las macros estén desactivadas.
Su descubrimiento se debe a un equipo de investigación de nao_sec después de ver un documento de Word cargado en VirusTotal desde una dirección IP ubicada en Bielorrusia. No obstante, también se han encontrado más muestras maliciosas con fecha del pasado mes de abril, lo que implica que esta vulnerabilidad podría llevar explotándose hace más de un mes.
Esto hizo que inicialmente se pensara que podía tratarse de una vulnerabilidad de Word, ya que el exploit original estaba en este formato de documento. Sin embargo, el análisis del investigador Kevin Beaumont determinó que el exploit aprovechaba la función de plantilla remota de Word para recuperar un archivo HTML de un servidor remoto.
Una vez conseguido, utilizaba el esquema de URL ms-msdt para ejecutar el código malicioso y un script de PowerShell.
Con ellos, los ciberatacantes ejecutan comandos PowerShell con la herramienta MSDT que sortea la detección de Windows Defender y una serie de instrucciones se agrupan en un comando para realizar una tarea de forma automática.
Como destaca Eusebio Nieva, director técnico de Check Point Software para España y Portugal, «el problema está en el MSDT, que es un software de ayuda a la resolución de problemas, pero al que puedes añadir un enlace a ese producto dentro de los documentos de Office, especialmente en Word. Por lo tanto, el ataque es sí no es una vulnerabilidad de Word sino de este producto».
En este sentido, el responsable destaca que, al poder hacer una referencia con una URL al producto, lo que hace que pueda ser ampliamente utilizado y tan grave.
Office como superficie de ataque
De esta forma, cualquier documento que un usuario descargue de Internet podría ser utilizado para atacar utilizando esta vulnerabilidad. Y no necesariamente debe ser Word, sino cualquier otro del paquete de Office.
Al incorporar ese enlace a esa vulnerabilidad en MSDT, se ejecuta un PowerShell o descarga cosas. «Es lo que se denomina el vector de primera infección, es decir, utiliza esta vulnerabilidad para que, por primera vez, te descargues un pequeño software malicioso que, a su vez, ya hace todo lo demás como descargarse el resto, empezar a infectar, etc.».
Las pruebas realizadas apuntan que el exploit funciona en las versiones de Office 2013, 2016, 2019, 2021, Office ProPlus y Office 365.
No obstante, Beaumont apunta a una mayor gravedad del tema ya que la vulnerabilidad, si bien afecta a Office, aunque no sea de Office, puede ejecutarse desde otras aplicaciones en Windows como en Outlook.
Como destaca Nieva, «el problema que tenemos es que este primer vector de infección puede ser utilizado para infectar por Emotet o por cualquier tipo de ransomware. Podemos detectar quién está infectado pero los vectores de infección pueden ser múltiples, y este puede ser uno de ellos.»
En este sentido, el responsable de Check Point Software apunta que un punto preocupante es que se trata de una vulnerabilidad fácil de explotar y la superficie de ataque es todo aquél que tenga Office.
A la espera de encontrar una solución, desde Microsoft aconsejan deshabilitar todo el protocolo MSDT en el sistema para evitar que otras aplicaciones llamen automáticamente al solucionador de problemas de MSDT.
Para ello hay que ejecutar el símbolo del sistema como administrador, hacer una copia de seguridad de la clave del registro ejecutando el comando “reg export HKEY_CLASSES_ROOT\ms-msdt/ filename”. Una vez realizado, debe ejecutarse el comando “reg delete HKEY_CLASSES_ROOT\ms-msdt/f”.
Sin embargo, Microsoft deberá mover ficha y solventar la vulnerabilidad en MSDT, algo que se espera que sea lo más rápido posible para evitar la proliferación de daños.
