Ayer informamos de la aparición de un nuevo día cero que afecta a Microsoft Office y otros productos de Microsoft, apodada Follina por el investigador Kevin Beaumont. El problema existe en todas las versiones de Windows compatibles actualmente, y se puede aprovechar a través de las versiones de Microsoft Office 2013 a la oficina 2019, Oficina 2021, Oficina 365, y Office Pro Plus.
La vulnerabilidad fue descubierta por el equipo de investigación de nao_sec., tras el descubrimiento de un documento de Word cargado en VirusTotal desde una dirección IP bielorrusa. Los investigadores publicaron una serie de tuits que detallan su descubrimiento.. La falla aprovecha el enlace externo de Microsoft Word para cargar el HTML y luego usa el esquema 'ms-msdt' para ejecutar el código de PowerShell..
La vulnerabilidad de Follina ahora recibe un identificador CVE
Microsoft acaba de compartir técnicas de mitigación contra Follina, que ahora tiene asignado el identificador CVE-2022-30190. La vulnerabilidad es un problema de ejecución remota de código que afecta a la herramienta de diagnóstico de soporte de Microsoft Windows. (MSDT). Poco dicho, el día cero permite la ejecución de código en una variedad de productos de Microsoft, que puede ser explotado en varios escenarios de ataque. Además, la vulnerabilidad “rompe el límite de tener macros deshabilitadas,” con una detección de proveedores muy pobre.
Según Microsoft de blog recién publicado, CVE-2022-30190 se activa cuando se llama a MSDT mediante el protocolo URL desde una aplicación de llamada:
Existe una vulnerabilidad de ejecución remota de código cuando se llama a MSDT mediante el protocolo URL desde una aplicación de llamada como Word. Un atacante que aproveche con éxito esta vulnerabilidad puede ejecutar código arbitrario con los privilegios de la aplicación que realiza la llamada.. El atacante puede entonces instalar programas, vista, cambio, o borrar datos, o crear nuevas cuentas en el contexto permitido por los derechos del usuario.
¿Cómo se puede mitigar CVE-2022-30190??
“Deshabilitar el protocolo URL de MSDT evita que los solucionadores de problemas se inicien como enlaces, incluidos enlaces en todo el sistema operativo,”Dijo Microsoft. Todavía puede acceder a los solucionadores de problemas mediante la aplicación Obtener ayuda, así como en la configuración del sistema. Los pasos a seguir para mitigar la vulnerabilidad son los siguientes:
1.Ejecutar símbolo del sistema como administrador.
2.Para hacer una copia de seguridad de la clave de registro, ejecute el comando "reg export HKEY_CLASSES_ROOTms-msdt filename"
3.Ejecute el comando "reg delete HKEY_CLASSES_ROOTms-msdt /f".
Actualizaremos este artículo cuando aparezca nueva información sobre CVE-2022-30190.
Milena Dimitrova
Un escritor inspirado y administrador de contenido que ha estado con SensorsTechForum desde que comenzó el proyecto.. Un profesional con 10+ años de experiencia en la creación de contenido atractivo. Centrado en la privacidad de los usuarios y el desarrollo de malware, ella cree firmemente en un mundo donde la seguridad cibernética juega un papel central. Si el sentido común no tiene sentido, ella estará allí para tomar notas. Esas notas pueden convertirse más tarde en artículos! Siga Milena @Milenyim
Sígueme: