{"id":2642,"date":"2022-06-07T16:40:03","date_gmt":"2022-06-07T14:40:03","guid":{"rendered":"https:\/\/kalweit-its.de\/2022\/06\/vulnerabilidad-de-dia-cero-de-follina-cve-2022-30190\/"},"modified":"2022-10-20T17:57:33","modified_gmt":"2022-10-20T15:57:33","slug":"vulnerabilidad-de-dia-cero-de-follina-cve-2022-30190","status":"publish","type":"post","link":"https:\/\/kalweit-its.de\/es\/vulnerabilidad-de-dia-cero-de-follina-cve-2022-30190\/","title":{"rendered":"Vulnerabilidad de d\u00eda cero de Follina (CVE-2022-30190)"},"content":{"rendered":"\n
\"\"<\/figure>\n\n

El 27\/05\/2022, investigadores de seguridad del grupo <\/mark>\n nao_sec<\/mark>\n<\/a> <\/mark>advirti\u00f3 de una vulnerabilidad en la Herramienta de Diagn\u00f3stico de Soporte de Microsoft Windows (MSDT).<\/p>\n\n

La vulnerabilidad denominada \u00abFollina\u00bb permite a los atacantes ejecutar comandos Powershell arbitrarios. \n CVE-2022-30190<\/mark>\n<\/a>permite a los atacantes ejecutar comandos Powershell arbitrarios y as\u00ed, por ejemplo, instalar ransomware o espiar datos en los sistemas objetivo.<\/p>\n\n

As\u00ed, la vulnerabilidad supone un riesgo importante para la seguridad inform\u00e1tica de toda la organizaci\u00f3n, ya que los sistemas controlados por un atacante pueden propagar programas maliciosos dentro de la red de la organizaci\u00f3n, por ejemplo.<\/p>\n\n

El peligro potencial particular de la vulnerabilidad radica en su relativa simplicidad. Una vez descargado un documento de Office convenientemente preparado, al cargar la vista previa en el Explorador de Windows se activa el c\u00f3digo malicioso. As\u00ed, el documento no necesita ser abierto por el usuario, y la interacci\u00f3n del usuario requerida para ejecutar el c\u00f3digo malicioso es m\u00ednima. Por ello, los c\u00edrculos de seguridad hablan de un \u00abzero click exploit\u00bb en relaci\u00f3n con \u00abFollina\u00bb.<\/p>\n\n

El exploit no se dirige a la implementaci\u00f3n de macros VBA, que se sabe que es vulnerable, sino al protocolo \u00abms-msdt\u00bb.<\/p>\n\n

Este protocolo es la base de la correcci\u00f3n autom\u00e1tica de errores interna de Windows y, por tanto, est\u00e1 activado por defecto en todas las versiones de Microsoft Windows a partir de Windows 7, as\u00ed como en las versiones de Windows Server a partir de Windows Server 2008.<\/p>\n\n

En un principio, se supon\u00eda que \u00abFollina\u00bb s\u00f3lo pod\u00eda explotarse en relaci\u00f3n con determinadas versiones de Microsoft Office. <\/p>\n\n

Sin embargo, en los \u00faltimos d\u00edas han aumentado los indicios de que la vulnerabilidad tambi\u00e9n puede ser explotada independientemente de las aplicaciones de Microsoft Office.<\/p>\n\n

A partir de la investigaci\u00f3n del exploit por parte de los expertos en seguridad <\/mark>\n John Hammond<\/mark>\n<\/a> <\/mark>y \n @KevTheHermit<\/mark>\n<\/a>Los investigadores de seguridad de KALWEIT ITS pudieron comprobar dos vectores de ataque independientes de MS Office.<\/p>\n\n

Seg\u00fan los informes, los intentos de ataque actuales parecen basarse principalmente en documentos de Office manipulados como modo principal de distribuci\u00f3n del c\u00f3digo malicioso.<\/p>\n\n

La cuenta de Twitter operada por la empresa de seguridad proofpoint inform\u00f3 de lo siguiente \n Perspectiva de la amenaza<\/mark>\n<\/a> <\/mark>el 03.06.2022 una campa\u00f1a por correo electr\u00f3nico dirigida a los gobiernos europeos y estadounidenses (locales). Seg\u00fan informes no confirmados, tambi\u00e9n hubo ataques contra las autoridades ucranianas, as\u00ed como una campa\u00f1a en la regi\u00f3n de Ocean\u00eda.<\/p>\n\n

El 31.05.2022, la BSI respondi\u00f3 con un \n Notificaci\u00f3n del segundo nivel de alerta m\u00e1s alto<\/mark>\n<\/a> \u00ab3 \/ Naranja\u00bb (\u00abLa situaci\u00f3n de la amenaza inform\u00e1tica es cr\u00edtica para el negocio. Deterioro masivo de las operaciones regulares\u00bb) a los incidentes.<\/p>\n\n

En el \u00abCentro de Respuesta de Seguridad\u00bb de Microsoft (MSRC), el \n Gravedad de la vulnerabilidad<\/mark>\n<\/a>) tiene una puntuaci\u00f3n de 7,8 sobre 10, y Microsoft tambi\u00e9n afirma que est\u00e1 trabajando en una actualizaci\u00f3n de seguridad.<\/p>\n\n

Mientras esto no aparezca, tanto la BSI como Microsoft recomiendan deshabilitar el manejador del protocolo MSDT URL mediante claves de registro:<\/p>\n\n

Esto se consigue de la siguiente manera:<\/p>\n\n