Los investigadores de seguridad cibernética están llamando la atención sobre una falla de día cero en Microsoft Office que podría abusarse para lograr la ejecución de código arbitrario en los sistemas Windows afectados.
La vulnerabilidad salió a la luz después de que un equipo independiente de investigación de ciberseguridad conocido como nao_sec descubriera un documento de Word («05-2022-0438.doc«) que se subió a VirusTotal desde una dirección IP en Bielorrusia.
«Usa el enlace externo de Word para cargar el HTML y luego usa el esquema ‘ms-msdt’ para ejecutar el código de PowerShell», dijeron los investigadores. señalado en una serie de tuits la semana pasada.
Según el investigador de seguridad Kevin Beaumont, quien apodó la falla «Follina», el maldoc aprovecha la capacidad de Word plantilla remota función para obtener un archivo HTML de un servidor, que luego utiliza el esquema URI «ms-msdt://» para ejecutar la carga maliciosa.
La deficiencia se ha llamado así porque la muestra maliciosa hace referencia a 0438, que es el código de área de Follina, un municipio de la ciudad italiana de Treviso.
MSDT es la abreviatura de Microsoft Support Diagnostics Tool, una utilidad que se usa para solucionar problemas y recopilar datos de diagnóstico para que los profesionales de soporte los analicen para resolver un problema.
«Están sucediendo muchas cosas aquí, pero el primer problema es que Microsoft Word está ejecutando el código a través de msdt (una herramienta de soporte) incluso si las macros están deshabilitadas», Beaumont explicado.
«Vista protegida se activa, aunque si cambia el documento a formato RTF, se ejecuta sin siquiera abrir el documento (a través de la pestaña de vista previa en el Explorador), y mucho menos la Vista protegida», agregó el investigador.
En un análisis independiente, la empresa de seguridad cibernética Huntress Labs detalló el flujo de ataque, señalando el archivo HTML («RDF842l.html») que desencadena el exploit originado en un dominio ahora inalcanzable llamado «xmlformats[.]com».
«Un archivo de formato de texto enriquecido (.RTF) podría desencadenar la invocación de este exploit con solo el Panel de vista previa dentro del Explorador de Windows», John Hammond de Huntress Labs. dijo. «Al igual que CVE-2021-40444, esto amplía la gravedad de esta amenaza no solo con un ‘clic único’ para explotar, sino potencialmente con un desencadenante de ‘clic cero'».
Se dice que se ven afectadas varias versiones de Microsoft Office, incluidas Office, Office 2016 y Office 2021, aunque se espera que otras versiones también sean vulnerables.
Además, Richard Warren de NCC Group administrado para demostrar un exploit en Office Professional Pro con parches de abril de 2022 que se ejecutan en una máquina con Windows 11 actualizada con el panel de vista previa habilitado.
«Microsoft necesitará parchearlo en todas las diferentes ofertas de productos, y los proveedores de seguridad necesitarán una detección y un bloqueo sólidos», dijo Beaumont. Nos comunicamos con Microsoft para obtener comentarios y actualizaremos la historia una vez que tengamos una respuesta.