Microsoft acaba de lanzar su actualización acumulativa de junio de 2022 para Windows, que incluye una solución para la temida vulnerabilidad de Follina.

«Microsoft recomienda encarecidamente que los clientes instalen actualizaciones para estar completamente protegidos contra la vulnerabilidad. Los clientes cuyos sistemas están configurados para recibir actualizaciones automáticas no necesitan tomar ninguna medida adicional», dijo Microsoft en su opinión.

Descubierta por el experto en seguridad cibernética Kevin Beaumont y apodada «Follina», la falla explota una utilidad de Windows llamada msdt.exe, que está diseñada para ejecutar varios paquetes de solución de problemas en Windows. El investigador descubrió que cuando la víctima descarga un archivo de Word armado, ni siquiera necesita ejecutarlo, obtener una vista previa en el Explorador de Windows es suficiente para abusar de la herramienta (sin embargo, debe ser un archivo RTF).

Follina abusada en la naturaleza

Al abusar de esta utilidad, los atacantes pueden decirle al punto final de destino (se abre en una nueva pestaña) que llame a un archivo HTML, desde una URL remota. Los atacantes eligieron formatos xml[.]com, probablemente tratando de esconderse detrás del dominio openxmlformats.org de apariencia similar, aunque legítimo, que se usa en la mayoría de los documentos de Word.

El archivo HTML contiene mucha «basura», lo que oscurece su propósito real: un script que descarga y ejecuta una carga útil.

El parche de Microsoft no evita que Office cargue automáticamente los controladores URI del protocolo de Windows sin la interacción del usuario, pero bloquea la inyección de PowerShell, lo que hace que el ataque sea inútil.

Tan pronto como se descubrió, los investigadores comenzaron a rastrear el defecto abusado en la naturaleza. Según los informes, entre sus primeros usuarios se encontraban actores de amenazas patrocinados por el estado chino que organizaban ataques cibernéticos (se abre en una nueva pestaña) contra la comunidad tibetana internacional.

«TA413 CN APT detectó que ITW explotaba Follina 0Day usando URL para entregar archivos Zip que contenían documentos de Word usando la técnica», dijeron hace dos semanas investigadores de seguridad cibernética de Proofpoint. La misma compañía también descubrió que otro actor de amenazas, TA570, abusó de Follina para distribuir Qbot, mientras que NCC Group descubrió que Black Basta, que es un conocido grupo de ransomware, abusó aún más de él.

Via: BleepingComputer (si apre in una nuova scheda)

Condividi questo