Los investigadores han descubierto otra vulnerabilidad seria en los productos de Microsoft que podría permitir a los atacantes que ejecuten código arbitrario. MITRE ha nombrado esta vulnerabilidad CVE-2022-30190, sin embargo, los investigadores le han puesto un nombre más poético: Follina. Lo más preocupante es que aún no hay ningún parche para este bug. Y lo que es peor, los ciberdelincuentes ya están explotando activamente esta vulnerabilidad. Aunque se está desarrollando una nueva actualización, se aconseja a todos los usuarios y administradores que utilicen soluciones alternativas temporalmente.
¿Qué es CVE-2022-30190 y a qué productos afecta?
La vulnerabilidad CVE-2022-30190 se encuentra en la herramienta Microsoft Windows Support Diagnostic Tool (MSDT). Esto no parece un gran problema, por desgracia, debido a la implementación de esta herramienta, la vulnerabilidad puede explotarse a través de un documento de MS Office malicioso.
MSDT es una aplicación que se utiliza para recopilar automáticamente información de diagnóstico y enviarla a Microsoft cuando algo falla en Windows. La herramienta puede activarse desde otras aplicaciones (Microsoft Word es el ejemplo más popular) a través del protocolo especial URL MSDT. Si la vulnerabilidad se explota con éxito, los atacantes pueden ejecutar código arbitrario con los privilegios de la aplicación que activó el MSDT, es decir, en este caso, con los derechos del usuario que abrió el archivo malicioso.
La vulnerabilidad CVE-2022-30190 puede explotarse en todos los sistemas operativos de la familia Windows, tanto en escritorio como en un servidor.
Cómo explotan los atacantes la vulnerabilidad CVE-2022-30190
Como ejemplo de un ataque, los investigadores que lo descubrieron describen el siguiente supuesto: Los atacantes crean un documento malicioso de MS Office y de alguna forma se lo hacen llegar a la víctima. La forma más común de hacerlo es mediante un correo electrónico con un archivo adjunto malicioso, adornado con alguna trampa clásica de ingeniería social para convencer al destinatario de que abra el archivo. Suele funcionar algo como: “Revisar urgentemente el contrato, se firma mañana por la mañana”.
El archivo infectado contiene un enlace a un archivo HTML que contiene un código JavaScript que ejecuta código malicioso en la línea de comandos a través de MSDT. Cuando la explotación es exitosa, los atacantes consiguen el control para instalar programas, ver, modificar o destruir datos, así como crear nuevas cuentas, es decir, hacer todo lo que permiten los privilegios de la víctima en el sistema.
Cómo protegerse
Como hemos comentado anteriormente, todavía no hay un parche. Mientras tanto, Microsoft recomienda deshabilitar el protocolo URL de MSDT. Para hacer esto, debes ejecutar una línea de comandos con derechos de administrador y ejecutar el comando reg delete HKEY_CLASSES_ROOT\ms-msdt /f
. Antes de hacer esto, se recomienda hacer una copia de seguridad del registro ejecutando reg export HKEY_CLASSES_ROOT\ms-msdt filename
. De esta forma, podrás restaurar rápidamente el registro con el comando reg import filename
cuando esta solución ya no sea necesaria. Sin embargo, esta es solo una solución temporal y, en cuanto esté disponible, deberás instalar la actualización que cierre la vulnerabilidad de Follina.
Los métodos descritos para explotar esta vulnerabilidad implican el uso de correos electrónicos con archivos adjuntos maliciosos y métodos de ingeniería social. Por lo tanto, recomendamos tener aún más cuidado de lo habitual con los correos electrónicos de remitentes desconocidos, en especial si contienen documentos de MS Office adjuntos. En cuanto a las empresas, recomendamos informar de forma periódica a los empleados sobre los trucos más comunes de los hackers.
Además, todos los dispositivos con acceso a Internet deben estar equipados con soluciones de seguridad robustas. Estas soluciones pueden evitar que se ejecute un código malicioso en el equipo de un usuario incluso cuando se esté explotando una vulnerabilidad desconocida.