Follina, ahora conocido como CVE-2022-30190 (la mitigación también está disponible), es el nombre de un nuevo Día cero en Microsoft Office que podría aprovecharse en ataques de ejecución de código arbitrario.
La vulnerabilidad fue descubierta por el equipo de investigación de nao_sec., tras el descubrimiento de un documento de Word cargado en VirusTotal desde una dirección IP bielorrusa. Los investigadores publicaron una serie de tweets detallando su descubrimiento. La vulnerabilidad aprovecha el enlace externo de Microsoft Word para cargar el HTML y luego usa el 'ms-msdt’ esquema para ejecutar el código de PowerShell.
Cabe señalar que Microsoft describió el problema por primera vez en abril como una vulnerabilidad no relacionada con la seguridad., después de que un investigador de seguridad de Shadow Chaser Group informara haber observado un exploit público. A pesar de admitir que el problema fue explotado activamente en la naturaleza, Microsoft no lo describió como un día cero.
Vulnerabilidad de día cero de Follina: detalles
La vulnerabilidad fue apodada "Follina" por el conocido investigador de ciberseguridad Kevin Beaumont.. “El documento utiliza la función de plantilla remota de Word para recuperar un archivo HTML de un servidor web remoto, que a su vez utiliza el esquema URI ms-msdt MSProtocol para cargar código y ejecutar PowerShell,según su análisis.
“Están pasando muchas cosas aquí, pero el primer problema es que Microsoft Word está ejecutando el código a través de msdt (una herramienta de apoyo) incluso si las macros están deshabilitadas. La vista protegida se activa, aunque si cambias el documento a formato RTF, se ejecuta sin siquiera abrir el documento (a través de la pestaña de vista previa en Explorer) y mucho menos Vista protegida,Beaumont agregó.
Poco dicho, el día cero permite la ejecución de código en una variedad de productos de Microsoft, que puede ser explotado en varios escenarios de ataque. Además, la vulnerabilidad “rompe el límite de tener macros deshabilitadas,” con una detección de proveedores muy pobre.
El investigador probó el día cero en varias máquinas, y funciona en muchos de los casos. Por ejemplo, la vulnerabilidad funciona en Windows 10 sin ser administrador local y con macros deshabilitadas, y con Defender en su lugar. Sin embargo, no;t funciona en Insider y en las versiones actuales de Microsoft Office, lo que significa que la empresa puede haber hecho algo para fortalecer o corregir la vulnerabilidad sin mencionarlo públicamente, Beaumont dijo, que pudo haber ocurrido en mayo 2022.
“Otra opción completamente posible es que soy demasiado idiota para explotarlo en esas versiones, y acabo de estropear algo,", Agregó. Cabe mencionar que existe la falla en Office 2013 y 2016. Muchas empresas pueden estar expuestas, ya que es típico que las empresas usen canales más antiguos de Office 365 y ProPlus.
“Microsoft necesitará parchearlo en todas las diferentes ofertas de productos., y los proveedores de seguridad necesitarán detección y bloqueo robustos,” el investigador concluido.