[01/06/2022] Los atacantes están explotando activamente una vulnerabilidad de ejecución remota de código (RCE) no parcheada en un componente de Windows llamado Microsoft Support Diagnostic Tool (MSDT) a través de documentos de Word armados. Microsoft ha respondido con consejos de mitigación que pueden utilizarse para bloquear los ataques hasta que se publique un parche permanente.
Un equipo de investigación de seguridad independiente, llamado nao_sec, encontró un exploit para la vulnerabilidad, ahora rastreada como CVE-2022-30190, que detectó un documento de Word malicioso subido a VirusTotal desde una IP en Bielorrusia. Sin embargo, también se han encontrado más muestras maliciosas que datan de abril, lo que sugiere que la vulnerabilidad ha sido explotada durante más de un mes.
Un exploit de Word, pero no una falla de Word
Debido a que el exploit original venía en forma de un documento de Word, hubo rumores iniciales de que la vulnerabilidad estaba localizada en Word o en la suite más amplia de Office. Sin embargo, el investigador de seguridad Kevin Beaumont, que bautizó la falla como Follina antes de que tuviera un identificador CVE, analizó el exploit y llegó a la conclusión de que aprovechaba la función de plantilla remota de Word para recuperar un archivo HTML de un servidor remoto y, a continuación, utilizaba el esquema de URL ms-msdt para cargar código malicioso y un script de PowerShell.
"Aquí pasan muchas cosas, pero el primer problema es que Microsoft Word ejecuta el código a través de msdt (una herramienta de soporte) incluso si las macros están desactivadas", comentó Beaumont en una entrada del blog. "La Vista Protegida sí entra en acción, aunque si cambia el documento a formato RTF, se ejecuta sin ni siquiera abrir el documento (a través de la pestaña de vista previa en el Explorador) y mucho menos la Vista Protegida".
Beaumont hizo algunas pruebas iniciales y el exploit parecía fallar en la versión Insider y Current de Office, pero funcionaba en otras. Sin embargo, más investigadores probaron posteriormente el exploit confirmándolo en versiones totalmente actualizadas de Office 2013, 2016, 2019, 2021, Office ProPlus y Office 365.
En realidad, el problema es mayor porque la vulnerabilidad se encuentra en MSDT, que puede ser llamado desde diferentes aplicaciones, incluyendo Office, pero no solo a través del esquema de protocolo de URL de MSDT ms-msdt. De hecho, según Beaumont, también funciona directamente en Windows a través de archivos LNK, así como en Outlook.
Microsoft responde con consejos de mitigación de Follina
En una entrada del blog, el Centro de Respuesta de Seguridad de Microsoft señaló que, si el exploit se entrega a través de una aplicación de Microsoft Office, por defecto el modo de Vista Protegida o Application Guard para Office se activaría para los documentos abiertos desde Internet y debería bloquear el ataque.
Beaumont dijo que esto es "exagerado", ya que el exploit también se activa a través de la pestaña de vista previa en el Explorador de Windows, donde la vista protegida no se aplica. Will Dormann, analista de vulnerabilidades del CERT/CC, compartió la misma opinión, calificando el lenguaje de las preguntas frecuentes de Microsoft como "un poco engañoso".
Como una solución más general, Microsoft propone deshabilitar todo el protocolo MSDT URL en el sistema siguiendo estos pasos:
- Ejecute el símbolo del sistema como administrador.
- Haga una copia de seguridad de la clave del registro ejecutando el comando "reg export HKEY_CLASSES_ROOT\ms-msdt filename".
- Ejecute el comando "reg delete HKEY_CLASSES_ROOT\ms-msdt /f".
Esto evita que otras aplicaciones llamen automáticamente al solucionador de problemas de MSDT, sin embargo, aún puede utilizarse a través de la aplicación Obtener ayuda y en el panel de configuración del sistema.
Se han añadido detecciones para la exportación en Microsoft Defender Antivirus y Microsoft Defender for Endpoint, donde la "BlockOfficeCreateProcessRule" bloquea las aplicaciones de Office para que no creen procesos hijo en general, ya que se trata de un comportamiento habitual del malware.
Otras empresas de seguridad e investigadores han publicado reglas de detección para herramientas de caza de amenazas y detección de intrusos, y es probable que más proveedores de protección de puntos finales añadan sus propias firmas de detección.
Ataques anteriores de Follina
Beaumont pudo encontrar otros archivos que explotaban la vulnerabilidad y que circularon en abril, algunos con temática rusa. Los investigadores de Proofpoint informaron de que una APT china rastreada como TA413 también ha intentado explotar la vulnerabilidad utilizando ZIPs con documentos maliciosos que suplantan la identidad del Women's Empowerment Desk, un organismo de la Administración Central del Tíbet.
El método de utilizar la URL del protocolo MSDT para ejecutar código fue aparentemente documentado en una tesis de licenciatura por Benjamin Altpeter, un estudiante de CompSci en TU Braunschweig en Alemania, ya en agosto del 2020. Un miembro de un grupo de caza de APT llamado Shadow Chaser Group afirma que informó de la vulnerabilidad a Microsoft en abril, pero que no se clasificó como problema de seguridad y el ticket se cerró.
Basado en el artículo de Lucian Constantin (CSO) y editado por CIO Perú