Según los investigadores de seguridad, los actores maliciosos explotan una vulnerabilidad de cero clics de día cero no revelada previamente en Microsoft Office para ejecutar comandos de PowerShell sin la interacción del usuario.
La vulnerabilidad – descubierto por el investigador de seguridad nao_sec el 27 de mayo y posteriormente designado por Microsoft como CVE-2022-30190: aprovecha la herramienta de diagnóstico de Microsoft (MSDT) utilizada para ejecutar el código de PowerShell después de llamar a un archivo HTML desde una URL remota.
«Utiliza el enlace externo de Word para cargar el HTML y luego usa el esquema ‘ms-msdt’ para ejecutar el código de PowerShell», dijo nao_sec.
En un blog publicado el 30 de mayo, Microsoft agregó: «Un atacante que explotara con éxito esta vulnerabilidad podría ejecutar código arbitrario con los privilegios de la aplicación que realiza la llamada. Luego, el atacante puede instalar programas, ver, cambiar o eliminar datos, o crear nuevas cuentas en el contexto permitido por los privilegios del usuario».
También conocido como «Follina» en la comunidad de seguridad de la información, el exploit permite a los atacantes ejecutar código a través de MSDT incluso con las macros deshabilitadas, y ha sido reproducido con éxito por otros investigadores de seguridad, incluidos Kevin Beaumont y expertos de Huntress.
«Este es un ataque tentador para los atacantes porque está oculto en un documento de Microsoft Word sin macros para activar señales de advertencia familiares para los usuarios, pero con la capacidad de ejecutar código alojado de forma remota», dijo John Hammond, investigador principal de seguridad en Huntress. en un blog
«Para comprender mejor esta amenaza, los investigadores de seguridad de Huntress modificaron las partes internas del documento de Word para llamar a una dirección local dentro de un entorno limitado de análisis y enviaron una carga útil inofensiva que muestra un mensaje en lugar de detonar malware».
Hammond agregó que después de la prueba, quedó claro que sin «una cantidad significativa de caracteres de relleno» presentes en el archivo HTML, la carga útil no se ejecutaría.
Si bien los investigadores inicialmente no tenían claro por qué esto era necesario, Huntress pudo confirmar que cualquier archivo de menos de 4096 bytes no invocaría la carga útil después de publicar un blog que indicaba que había un tamaño de búfer codificado para una función de procesamiento de HTML.
Beaumont también descubrió que si el documento de Word se cambia a un formato de archivo de texto enriquecido (RTF), el exploit puede activarse sin la interacción del usuario, lo que aumenta la gravedad del exploit de un solo clic a cero.
“Esta técnica de ataque ejecuta código bajo la cuenta de usuario que abrió o navegó al documento malicioso. Esto significa que un atacante puede comenzar como un usuario con privilegios bajos (no administrativo) pero luego usar ese acceso para lanzar más ataques para aumentar los privilegios y obtener más acceso al entorno objetivo», dijo Hammond, y agregó Educar a los usuarios para que se identifiquen a sí mismos y la eliminación de correos electrónicos maliciosos sigue siendo la mejor línea de defensa, al menos hasta que haya un parche disponible para implementar en los puntos finales.
«Durante los próximos días, anticipamos intentos de explotación en la naturaleza a través de la entrega basada en correo electrónico».
Beaumont agregó que la detección del exploit seguirá siendo difícil porque Word carga el código malicioso desde una plantilla remota, lo que significa que nada en el documento en sí es realmente malicioso.
«Microsoft probablemente quiera evitar que las páginas web incrustadas en Office como plantillas remotas carguen tantos URI, y Outlook probablemente necesite otro paso de refuerzo. Todo es solo mi opinión, como siempre», dijo.
Correspondiente grupo de cazadores de sombrasun grupo de caza de amenazas persistentes avanzadas (APT), la vulnerabilidad se informó por primera vez a Microsoft el 12 de abril de 2022, pero Microsoft cerró el ticket 10 días después, diciendo que no era un problema de seguridad porque «msdt en realidad se está ejecutando… requiere un código de acceso al inicio y el proporcionado en este ejemplo no funcionará”.
Computer Weekly se puso en contacto con Microsoft por qué la vulnerabilidad no se considera un riesgo de seguridad y si se soluciona el problema y cómo, pero no recibió respuesta hasta la publicación.
