A fines de mayo se conocía la noticia de que investigadores habían descubierto una vulnerabilidad zero-day crítica que afecta a Microsoft Support Diagnostic Tool (MSDT) y que permite a un atacante ejecutar remotamente comandos maliciosos con solo abrir un documento de Microsoft Office.
Apodada Follina y registrada como CVE-2022-30190, esta vulnerabilidad de ejecución remota de código (RCE, por sus siglas en inglés) existe cuando se llama a MSDT utilizando el protocolo de URL desde una app de llamada como Word. El atacante que explote el fallo podrá ejecutar código arbitrario a través de PowerShell con los privilegios de la app de llamada y de esta manera instalar programas en el equipo comprometido, así como borrar o modificar datos o crear nuevas cuentas con los privilegios que permita la cuenta del usuario, explica Microsoft en su blog.
Follina entonces se convierte en una posibilidad más para los atacantes que pueden usar documentos de Office sin necesidad de colocar código malicioso en las macro de un documento para ejecutar malware en el equipo de una víctima.
Investigadores de nao_sec, que fueron quienes descubrieron la vulnerabilidad, revelaron que el pasado 27 de mayo descubrieron en VirusTotal una muestra de un documento de Word malicioso que explotaba esta nueva vulnerabilidad, aunque según revelaron algunos medios, al parecer fue reportada en abril pero Microsoft la desestimó por considerar que no se trataba de un problema de seguridad.
Interesting maldoc was submitted from Belarus. It uses Word's external link to load the HTML and then uses the "ms-msdt" scheme to execute PowerShell code.https://t.co/hTdAfHOUx3 pic.twitter.com/rVSb02ZTwt
— nao_sec (@nao_sec) May 27, 2022
Según explicó Kevin Beaumont, quien bautizó a la vulnerabilidad con el nombre Follina, la zero-day aprovecha la función que permite cargar plantillas para Word de forma remota para recuperar un archivo HTML de un servidor web remoto. Asimismo, según Beaumont la vulnerabilidad es explotable utilizando archivos .RTF en todas las versiones de Office 365, y también puede ser explotada a través de Microsoft Outlook.
A la espera de que Microsoft publique un parche para mitigarla, la zero-day sigue siendo explotada activamente por actores maliciosos. Recientemente se descubrió una campaña de phishing que busca distribuir malware como Qbot aprovechando este fallo. Según revelaron investigadores, atacantes están enviando mensajes con adjuntos en HTML que descargan un archivo ZIP con un archivo de imagen de disco (IMG) que contienen archivos Word, DLL, y archivos LNK. Mientras el archivo LNK ejecuta la DLL de Qbot, el archivo .docx se comunica con un servidor externo que carga un archivo HTML con el exploit para abusar de la vulnerabilidad y ejecutar comandos que descarguen y ejecuten un payload de Qbot diferente.
Además de este ejemplo, días después de conocerse la vulnerabilidad otras compañías de seguridad comenzaron a revelar otras campañas en las que estaban utilizando Follina, como fue una que se detectó apuntando a Australia y utilizando sitios web.
Pero estos no fueron los únicos reportes de campañas explotando esta vulnerabilidad. El equipo de MalwareHunterTeam, por ejemplo, detectó el uso de documentos maliciosos con nombres de archivo en Chino siendo utilizados para distribuir troyanos que roban información.
Formas para mitigar el impacto de Follina
El equipo de 0patch publicó un parche no oficial para algunas versiones de Windows afectadas por Follina, mientras que microsoft publicó formas para mitigar esta vulnerabilidad mientras trabaja en un parche y recomienda deshabilitar el protocolo URL en MSDT para prevenir que se ejecuten enlaces. Para se debe:
- Ejecutar Command Prompt (CMD) como administrador,
- Realizar una copia de seguridad del Registro ejecutando el comando “reg export HKEY_CLASSES_ROOT\ms-msdt filename“
- Ejecutar el comando “reg delete HKEY_CLASSES_ROOT\ms-msdt /f”.
Por otra parte, Will Dorman, del Centro de Coordinación del CERT en Estados Unidos, también recomendó (en un extenso hilo en el cual explica el funcionamiento de la vulnerabilidad), deshabilitar el panel de vista previa en el explorador de Windows, ya que si la víctima previsualiza el documento malicioso en Windows Explorer podrá ser suficiente para detener el exploit.
Also, for the love of all that is holy, please don't have the Preview pane enabled in Windows Explorer. pic.twitter.com/bpkj00AVWZ
— Will Dormann (@wdormann) May 30, 2022
Agencias gubernamentales como CISA han alertado y recomendado a administradores y a usuarios para que deshabiliten el protocolo MSDT y que apliquen las recomendaciones que publicó Microsoft.