Ofertas en tecnología

Infracción de Microsoft Office permite piratear para abrir documentos de Word

Altavoz inteligente Echo Dot

Una vulnerabilidad de alta gravedad en Microsoft Office permite realizar ataques que implican la ejecución remota de código simplemente abriendo un documento de Word. La brecha es del tipo zero-day, es decir, desconocida hasta ahora incluso por los propios desarrolladores de la compañía, y no hay previsión de corrección, mientras que ya parece estar siendo utilizada por los ciberdelincuentes.

Según diferentes investigadores de seguridad que han investigado el tema, incluido el experto Não_sec, la vulnerabilidad aparece en las versiones 2013, 2016, 2021 y Pro Plus de Office. Todos pueden estar funcionando con las últimas actualizaciones, y la apertura está disponible incluso en Windows 11; en todos los casos, la intención parece ser abrir puertas a la intrusión en las redes o instalar malware para robar credenciales que permitan más exploits.

El problema ocurre en la herramienta de diagnóstico de Microsoft (MSDT). Es a partir de ahí que la vulnerabilidad, que se está llamando Follina, puede ejecutar comandos maliciosos de PowerShell, pudiendo escalar privilegios y evadir la detección, incluso por parte de Defender. Tampoco son necesarias las macros y otros elementos comúnmente utilizados en ataques mediante aplicaciones de Office, simplemente abriendo el documento de Word en el ordenador para que se ejecute código malicioso desde enlaces externos utilizados en la aplicación de temas y otros elementos.

El secreto está en un código ofuscado por los delincuentes, oculto en el archivo y que funciona incluso en sistemas donde la ejecución de macros está deshabilitada. El exploit consistía en descargar un archivo en formato RAR cuyo contenido fue descifrado e instalado; Los investigadores de seguridad no pudieron encontrar el paquete, lo que les impidió entender exactamente qué pretendían los atacantes con esta estafa.

Si bien se muestran los mecanismos de seguridad habituales de Word, como la alerta sobre la posibilidad de peligro en el archivo, tales advertencias pueden evadirse fácilmente, simplemente cambiando el formato de DOCX a RTF por parte de los atacantes. Así, señala el experto Kevin Beaumont, uno de los involucrados en la divulgación de la falla, sería posible ejecutar el comando PowerShell sin que el usuario siquiera abra el documento, simplemente haciendo clic una vez sobre él para ejecutar vistas previas o ver información.

También según el investigador, es difícil detectar un ataque, pues, como se mencionó, Windows no considera malicioso el uso de temas en Word; la mejor forma de identificación, señala, es el seguimiento de procesos, ya que se utiliza MSDT para la exploración. Además, se puede ver la ejecución de otros elementos, sdiagnhost.exe y conhost.exe, que indican la posible instalación de las plagas utilizadas en los ataques.

La creación de reglas en el software de seguridad, entonces, es la mejor manera de proteger, especialmente en el ambiente corporativo, el mayor objetivo de ataques que involucran documentos de Word. La recomendación es aplicar una regla que impida la creación de procesos secundarios por parte de las aplicaciones de Office o bloquee el uso de la herramienta de diagnóstico por parte de la suite de aplicaciones, para que no pueda ser activada y explotada, incluso si se abre un documento comprometido.

Breach en Word no ha sido parcheado desde abril

Si bien los investigadores de seguridad independientes dan una advertencia general sobre el riesgo inminente, Microsoft solo reconoció la falla el lunes. Sin embargo, los expertos señalan que Follina ya había sido reportada a la empresa hace más de un mes, pero que se descartó con la empresa alegando no haber podido reproducir la vulnerabilidad.

Hasta esta semana, ni siquiera se había relacionado un código con la brecha; ahora cumple con CVE-2022-30190, pero Microsoft no lo cita como un día cero, y mucho menos como una vulnerabilidad de alta gravedad. La empresa proporcionó formas de mitigar el problema en una página oficial, pero no se pronunció sobre la demora en tomar medidas, especialmente en vista de la denuncia realizada por los expertos en seguridad.

Fuente: Bleeping Computer, Microsoft

Tommy Banks
Estaremos encantados de escuchar lo que piensas

Deje una respuesta

TecnoBreak | Ofertas y Reviews
Logo
Enable registration in settings - general
Shopping cart