Una vulnerabilidad de día cero de Windows recién numerada (CVE-2022-30190) se está explotando de forma salvaje a través de documentos de Office especialmente diseñados (sin macros), advierten los investigadores de seguridad.
Después de descartar inicialmente la vulnerabilidad como “no un problema relacionado con la seguridad”, Microsoft ahora emitió un CVE y ofreció una solución temporal hasta que se puedan proporcionar soluciones.
Ataques detectados
Los archivos de Office manipulados enviados por correo electrónico son una de las tácticas más comunes que utilizan los atacantes para comprometer los puntos finales, y constantemente encuentran nuevas formas de ocultar la naturaleza maliciosa de los documentos de las defensas de seguridad existentes, las soluciones y los usuarios/objetivos.
Los atacantes han estado explotando las macros de Office para generar exploits y malware durante mucho tiempo, pero desde que Microsoft (¡por fin!) hizo que el comportamiento predeterminado de las aplicaciones de Office sea bloquear macros en archivos de Internet, los atacantes están probando nuevos enfoques.
En la naturaleza, los atacantes han estado explotando CVE-2022-30190 (mientras tanto denominado “Follina”) para apuntar a objetivos rusos y bielorrusos desde abril:
Acerca de CVE-2022-30190
“Existe una vulnerabilidad de ejecución remota de código cuando se llama a MSDT utilizando el protocolo URL desde una aplicación de llamada como Word. Un atacante que aproveche con éxito esta vulnerabilidad puede ejecutar código arbitrario con los privilegios de la aplicación que realiza la llamada. Luego, el atacante puede instalar programas, ver, cambiar o eliminar datos, o crear nuevas cuentas en el contexto permitido por los derechos del usuario”, señaló Microsoft en el aviso de seguridad publicado el lunes.
El ataque en sí se lleva a cabo localmente, explicó la compañía, pero el atacante puede ser remoto.
“Ya sea: el atacante explota la vulnerabilidad accediendo al sistema de destino de forma local (p. ej., teclado, consola) o de forma remota (p. ej., SSH); o el atacante confía en la interacción del usuario por parte de otra persona para realizar las acciones necesarias para explotar la vulnerabilidad (por ejemplo, engañar a un usuario legítimo para que abra un documento malicioso)”.
El investigador de seguridad Kevin Beaumont descubrió al analizar el último documento malicioso aprovechado por los atacantes que “el documento usa la función de plantilla remota de Word para recuperar un archivo HTML de un servidor web remoto, que a su vez usa el esquema de URI MSProtocol ms-msdt para cargar código y ejecutar algo de PowerShell.”
Microsoft dice que Microsoft Office abre documentos desde Internet en Vista protegida o Protección de aplicaciones para Office, y que ambos previenen el ataque actual.
Tanto los investigadores de Beaumont como los de Huntress han notado que, si bien la Vista protegida se activará en este caso particular, cambiar el documento a un archivo .rtf podría desencadenar el exploit con solo el Panel de vista previa en el Explorador de Windows y no activará la Vista protegida.
“Al igual que CVE-2021-40444, esto amplía la gravedad de esta amenaza no solo con un ‘clic único’ para explotar, sino potencialmente con un desencadenante de ‘clic cero’”, señaló John Hammond, investigador de Huntress.
Después de una explotación exitosa, los atacantes solo tienen los privilegios del sistema otorgados al usuario (cuenta) que interactuó con el archivo malicioso, pero pueden usar otras vulnerabilidades para obtener mayores privilegios.
Varios investigadores de seguridad han estado probando vulnerabilidades de PoC y descubrieron que Office 2013, 2016 y 2021 son vulnerables. La naturaleza vulnerable de otras versiones aún está por confirmar.
Mitigación
Microsoft recomienda deshabilitar el protocolo URL de la herramienta de diagnóstico de soporte de Microsoft (MSDT).
Los clientes que usan Microsoft Defender Antivirus “deben activar la protección en la nube y el envío automático de muestras” y aquellos que usan Microsoft Defender para Endpoint pueden habilitar la regla de reducción de la superficie de ataque que impide que las aplicaciones de Office creen procesos secundarios, agregó la compañía.
“Otra opción es eliminar la asociación de tipo de archivo para ms-msdt (se puede hacer en el Registro de Windows HKCR:ms-msdt o con el fragmento de PowerShell de Kelvin Tegelaar)”, señaló Hammond, pero agregó que cambiar la configuración en el Registro de Windows “es un asunto serio porque una entrada de registro incorrecta podría bloquear su máquina”.
Finalmente, las organizaciones deberían (por millonésima vez) advertir a los empleados que no abran archivos adjuntos no solicitados y, en este caso, que ni siquiera pasen el cursor sobre un archivo descargado, pero todos sabemos que contar con que todos los usuarios hagan esto no es realista.
Afortunadamente, actualmente no hay indicios de que los ataques que explotan CVE-2022-30190 estén generalizados.