06 Jun Lo que debes saber de Follina, características y mitigación de la nueva vulnerabilidad de día cero de Microsoft office
La vulnerabilidad de día cero de Follina en Microsoft Office permite a los actores de amenazas realizar la ejecución remota de código. Los investigadores de ciberseguridad descubrieron la vulnerabilidad cuando el documento de Word «05-2022-0438.doc» se cargó en VirusTotal desde una dirección IP en Bielorrusia.
Microsoft la está manejando como CVE-2022-30190. Esta falla afecta a todas las versiones de Windows que aún reciben actualizaciones de seguridad (Windows 7+ y Server 2008+). Usa el enlace externo de Word para cargar el HTML y luego usa el esquema ‘ms-msdt’ para ejecutar PowerShell.
Según uno de los investigadores, el documento de Word malicioso aprovecha la función de plantilla remota de Word para obtener un archivo HTML de un servidor, que luego utiliza el esquema URI «ms-msdt://» para ejecutar la carga útil maliciosa.
La vulnerabilidad de Follina abre la puerta a un nuevo vector de ataque crítico que aprovecha los programas de Microsoft Office, ya que se ejecuta sin privilegios elevados, pasa por alto la detección de Windows Defender y no necesita código de macro para habilitarse para ejecutar archivos binarios o scripts.
La vulnerabilidad se aprovecha mediante documentos de Word maliciosos que ejecutan comandos de PowerShell a través de MSDT. Abre la puerta a un nuevo vector de ataque crítico que aprovecha los programas de Microsoft Office, ya que funciona sin privilegios elevados, evita la detección de Windows Defender y no necesita código de macro para habilitarse para ejecutar archivos binarios o scripts.
Para mas información consultanos.