Vulnerabilidad de día cero de Follina (CVE-2022-30190)

El 27/05/2022, investigadores de seguridad del grupo nao_sec advirtió de una vulnerabilidad en la Herramienta de Diagnóstico de Soporte de Microsoft Windows (MSDT).

La vulnerabilidad denominada «Follina» permite a los atacantes ejecutar comandos Powershell arbitrarios. CVE-2022-30190 permite a los atacantes ejecutar comandos Powershell arbitrarios y así, por ejemplo, instalar ransomware o espiar datos en los sistemas objetivo.

Así, la vulnerabilidad supone un riesgo importante para la seguridad informática de toda la organización, ya que los sistemas controlados por un atacante pueden propagar programas maliciosos dentro de la red de la organización, por ejemplo.

El peligro potencial particular de la vulnerabilidad radica en su relativa simplicidad. Una vez descargado un documento de Office convenientemente preparado, al cargar la vista previa en el Explorador de Windows se activa el código malicioso. Así, el documento no necesita ser abierto por el usuario, y la interacción del usuario requerida para ejecutar el código malicioso es mínima. Por ello, los círculos de seguridad hablan de un «zero click exploit» en relación con «Follina».

El exploit no se dirige a la implementación de macros VBA, que se sabe que es vulnerable, sino al protocolo «ms-msdt».

Este protocolo es la base de la corrección automática de errores interna de Windows y, por tanto, está activado por defecto en todas las versiones de Microsoft Windows a partir de Windows 7, así como en las versiones de Windows Server a partir de Windows Server 2008.

En un principio, se suponía que «Follina» sólo podía explotarse en relación con determinadas versiones de Microsoft Office.

Sin embargo, en los últimos días han aumentado los indicios de que la vulnerabilidad también puede ser explotada independientemente de las aplicaciones de Microsoft Office.

A partir de la investigación del exploit por parte de los expertos en seguridad John Hammond y @KevTheHermit Los investigadores de seguridad de KALWEIT ITS pudieron comprobar dos vectores de ataque independientes de MS Office.

Según los informes, los intentos de ataque actuales parecen basarse principalmente en documentos de Office manipulados como modo principal de distribución del código malicioso.

La cuenta de Twitter operada por la empresa de seguridad proofpoint informó de lo siguiente Perspectiva de la amenaza el 03.06.2022 una campaña por correo electrónico dirigida a los gobiernos europeos y estadounidenses (locales). Según informes no confirmados, también hubo ataques contra las autoridades ucranianas, así como una campaña en la región de Oceanía.

El 31.05.2022, la BSI respondió con un Notificación del segundo nivel de alerta más alto «3 / Naranja» («La situación de la amenaza informática es crítica para el negocio. Deterioro masivo de las operaciones regulares») a los incidentes.

En el «Centro de Respuesta de Seguridad» de Microsoft (MSRC), el Gravedad de la vulnerabilidad ) tiene una puntuación de 7,8 sobre 10, y Microsoft también afirma que está trabajando en una actualización de seguridad.

Mientras esto no aparezca, tanto la BSI como Microsoft recomiendan deshabilitar el manejador del protocolo MSDT URL mediante claves de registro:

Esto se consigue de la siguiente manera:

  • Ejecute el símbolo del sistema con derechos de administrador.
  • A continuación, hay que hacer una copia de seguridad de la clave del registro. De esta manera, se puede restaurar después de una actualización de seguridad (o si se producen problemas debido a la eliminación de la clave). Esto se hace con el comando

reg export HKEY_CLASSES_ROOT\ms-msdt My_Filename

  • La clave del registro se elimina con el siguiente comando:

reg delete HKEY_CLASSES_ROOT\ms-msdt /f