Se ha observado que un actor de amenazas persistentes avanzadas (APT) alineado con los intereses del estado chino utiliza como arma la nueva falla de día cero en Microsoft Office para lograr la ejecución del código en los sistemas afectados.
"TA413 CN APT detectó [in-the-wild] explotando el día cero de Follina usando URL para entregar archivos ZIP que contienen documentos de Word que usan la técnica", dijo la firma de seguridad empresarial Proofpoint en un tweet.
"Las campañas se hacen pasar por el 'Mesa de Empoderamiento de la Mujer' de la Administración Central Tibetana y usan el dominio tibet-gov.web[.]app".
TA413 es mejor conocido por sus campañas dirigidas a la diáspora tibetana para entregar implantes como Exile RAT y Sepulcher , así como una extensión de navegador Firefox no autorizada denominada FriarFox .
La falla de seguridad de alta gravedad, denominada Follina y rastreada como CVE-2022-30190 (puntaje CVSS: 7.8), se relaciona con un caso de ejecución remota de código que abusa del esquema URI del protocolo "ms-msdt:" para ejecutar código arbitrario.
Específicamente, el ataque hace posible que los actores de amenazas eludan las medidas de seguridad de Vista protegida para archivos sospechosos simplemente cambiando el documento a un archivo de formato de texto enriquecido (RTF), lo que permite que el código inyectado se ejecute sin siquiera abrir el documento a través del Panel de vista previa. en el Explorador de archivos de Windows.
Si bien el error atrajo una atención generalizada la semana pasada, la evidencia apunta a la explotación activa de la falla de la herramienta de diagnóstico en ataques del mundo real dirigidos a usuarios rusos hace más de un mes, el 12 de abril de 2022, cuando se reveló a Microsoft.
Sin embargo, la empresa no lo consideró un problema de seguridad y cerró el informe de envío de vulnerabilidades, citando razones por las que la utilidad MSDT requiere una clave de acceso proporcionada por un técnico de soporte antes de poder ejecutar cargas útiles.
La vulnerabilidad existe en todas las versiones de Windows admitidas actualmente y se puede explotar a través de las versiones de Microsoft Office Office 2013 a Office 21 y las ediciones Office Professional Plus.
"Este elegante ataque está diseñado para eludir los productos de seguridad y pasar desapercibido al aprovechar la función de plantilla remota de Microsoft Office y el protocolo ms-msdt para ejecutar código malicioso, todo sin necesidad de macros", señaló Jerome Segura de Malwarebytes .
Aunque no hay un parche oficial disponible en este momento, Microsoft ha recomendado deshabilitar el protocolo URL de MSDT para evitar el vector de ataque. Además, se recomienda desactivar el Panel de vista previa en el Explorador de archivos.
"Lo que hace que 'Follina' se destaque es que este exploit no aprovecha las macros de Office y, por lo tanto, funciona incluso en entornos donde las macros se han deshabilitado por completo", dijo Nikolas Cemerikic de Immersive Labs.
"Todo lo que se requiere para que el exploit surta efecto es que un usuario abra y vea el documento de Word, o para ver una vista previa del documento usando el Panel de vista previa del Explorador de Windows. Dado que este último no requiere que Word se inicie completamente, esto efectivamente se convierte en un ataque de clic cero".
Fuente: https://thehackernews.com/
No olvides Compartir...
Siguenos en twitter: @disoftin - @fredyavila - @PaolaMRincon
0 Comentarios