Se ha observado que un actor de amenazas persistentes avanzadas (APT) alineado con los intereses del estado chino utiliza como arma la nueva falla de día cero en Microsoft Office para lograr la ejecución del código en los sistemas afectados.
“TA413 CN APT detectado [in-the-wild] explotando el día cero de Follina usando URL para entregar archivos ZIP que contienen documentos de Word que usan la técnica”, la firma de seguridad empresarial Proofpoint dijo en un tuit.
“Las campañas se hacen pasar por el ‘Mesa de Empoderamiento de la Mujer’ de la Administración Central Tibetana y usan el dominio tibet-gov.web[.]aplicación”.
TA413 es mejor conocido por sus campañas dirigidas a la diáspora tibetana para entregar implantes como rata exiliada y Sepulcro así como una extensión falsa del navegador Firefox denominada FriarFox.
La falla de seguridad de alta gravedad, denominada Follina y rastreada como CVE-2022-30190 (puntaje CVSS: 7.8), se relaciona con un caso de ejecución remota de código que abusa del esquema URI del protocolo “ms-msdt:” para ejecutar código arbitrario.
Específicamente, el ataque hace posible que los actores de amenazas eludan Vista protegida salvaguardas para archivos sospechosos simplemente cambiando el documento a un archivo de formato de texto enriquecido (RTF), lo que permite que el código inyectado se ejecute sin siquiera abrir el documento a través del Panel de vista previa en el Explorador de archivos de Windows.
Si bien el error atrajo una atención generalizada la semana pasada, la evidencia apunta a la explotación activa de la falla de la herramienta de diagnóstico en ataques del mundo real dirigidos a usuarios rusos hace más de un mes, el 12 de abril de 2022, cuando se le reveló a Microsoft.
Sin embargo, la empresa no lo consideró un problema de seguridad y cerró el informe de envío de vulnerabilidades, citando razones por las que la utilidad MSDT requería un llave maestra proporcionada por un técnico de soporte antes de que pueda ejecutar cargas útiles.
La vulnerabilidad existe en todas las versiones de Windows admitidas actualmente y se puede explotar a través de las versiones de Microsoft Office Office 2013 a Office 21 y las ediciones Office Professional Plus.
“Este elegante ataque está diseñado para eludir los productos de seguridad y pasar desapercibido al aprovechar la función de plantilla remota de Microsoft Office y el protocolo ms-msdt para ejecutar código malicioso, todo sin necesidad de macros”, Jerome Segura de Malwarebytes. señalado.
Aunque no hay un parche oficial disponible en este momento, Microsoft ha recomendado deshabilitar el protocolo URL de MSDT para evitar el vector de ataque. Adicionalmente, ha sido aconsejado para desactivar el Panel de vista previa en el Explorador de archivos.
“Lo que hace que ‘Follina’ se destaque es que este exploit no aprovecha las macros de Office y, por lo tanto, funciona incluso en entornos donde las macros se han deshabilitado por completo”, dijo Nikolas Cemerikic de Immersive Labs.
“Todo lo que se requiere para que el exploit surta efecto es que un usuario abra y vea el documento de Word, o para ver una vista previa del documento usando el Panel de vista previa del Explorador de Windows. Dado que este último no requiere que Word se inicie por completo, esto efectivamente se convierte en un ataque de clic cero”.