 |
Microsoft ha publicado actualizaciones de seguridad con las actualizaciones acumulativas de Windows de junio de 2022 para abordar una vulnerabilidad crítica de día cero de Windows conocida como Follina y explotada activamente en ataques recientes. "Microsoft recomienda encarecidamente a los clientes que instalen las actualizaciones para estar totalmente protegidos contra la vulnerabilidad. Los clientes cuyos sistemas están configurados para recibir actualizaciones automáticas no necesitan tomar ninguna otra medida", dijo Microsoft a través de un comunicado. |
Microsoft ha publicado actualizaciones de seguridad con las actualizaciones acumulativas de Windows de junio de 2022 para abordar una vulnerabilidad crítica de día cero de Windows conocida como Follina y explotada activamente en ataques recientes.
"Microsoft recomienda encarecidamente a los clientes que instalen las actualizaciones para estar totalmente protegidos contra la vulnerabilidad. Los clientes cuyos sistemas están configurados para recibir actualizaciones automáticas no necesitan tomar ninguna otra medida", dijo Microsoft a través de un comunicado.
El fallo de seguridad, identificado como CVE-2022-30190, es descrito por Microsoft como un error de ejecución remota de código de la Herramienta de Diagnóstico de Soporte de Microsoft Windows (MSDT) que afecta a todas las versiones de Windows que aún reciben actualizaciones de seguridad (es decir, Windows 7+ y Server 2008+).
Los atacantes que explotan con éxito este día cero pueden ejecutar código arbitrario con los privilegios de la aplicación que llama para instalar programas, ver, cambiar o eliminar datos, e incluso crear nuevas cuentas de Windows según lo permitan los derechos del usuario comprometido.
Como descubrió el investigador de seguridad nao_sec, los exploits de Follina permiten a los atacantes ejecutar comandos PowerShell maliciosos a través de MSDT en lo que Microsoft describe como ataques de ejecución de código arbitrario (ACE) al abrir o pre visualizar documentos de Word.
Aunque la aplicación de las actualizaciones del martes 14 de junio no impide que Microsoft Office cargue automáticamente los manejadores URI del protocolo de Windows sin la interacción del usuario, bloquea la inyección de PowerShell y desactiva este vector de ataque.
Explotación
La vulnerabilidad de seguridad Follina ha sido explotada en ataques durante un tiempo por actores de amenazas respaldados por el Estados y por la ciberdelincuencia con diversos fines.
Como revelaron los investigadores de seguridad de Proofpoint, el grupo de hackers chino TA413 explotó el fallo en ataques dirigidos a la diáspora tibetana. En cambio, un segundo grupo de amenazas alineado con el Estado lo utilizó en ataques de phishing contra organismos gubernamentales de Estados Unidos y la UE.
El afiliado de TA570 Qbot también está abusando de Follina en campañas de phishing para infectar a los destinatarios con el malware Qbot.
Sin embargo, los primeros ataques dirigidos a este día cero han comenzado a mediados de abril, con amenazas de sextorsión e invitaciones a entrevistas de Sputnik Radio como cebos.
A la luz de los informes de Microsoft sobre la explotación activa del error en la web, CISA también ha instado a los administradores y usuarios de Windows a desactivar el protocolo MSDT del que se abusa en estos ataques.
CrazymanArmy de Shadow Chaser Group, el investigador de seguridad que informó del día cero al equipo de seguridad de Microsoft en abril, dijo que la compañía rechazó su presentación inicial por no ser un "problema relacionado con la seguridad".
Sin embargo, según el investigador, los ingenieros de Redmond cerraron posteriormente el informe de presentación de errores con un impacto de ejecución remota de código.