Microsoft lanzó oficialmente correcciones para abordar una vulnerabilidad de día cero de Windows explotada activamente conocida como Follina como parte de sus actualizaciones de Patch Tuesday.
También abordado por el gigante tecnológico son 55 otros defectos, tres de los cuales están clasificados como Críticos, 51 están clasificados como Importantes y uno está clasificado como Moderado en gravedad. Por separado, otras cinco deficiencias se resolvieron en el navegador Microsoft Edge.
rastreado como CVE-2022-30190 (puntuación CVSS: 7,8), el error de día cero se relaciona con una vulnerabilidad de ejecución remota de código que afecta a la Herramienta de diagnóstico de soporte de Windows (MSDT) cuando se invoca mediante el esquema de protocolo URI «ms-msdt:» desde una aplicación como Word.
La vulnerabilidad se puede explotar de manera trivial mediante un documento de Word especialmente diseñado que descarga y carga un archivo HTML malicioso a través de la función de plantilla remota de Word. El archivo HTML finalmente permite que el atacante cargue y ejecute el código de PowerShell dentro de Windows.
«Un atacante que explota con éxito esta vulnerabilidad puede ejecutar código arbitrario con los privilegios de la aplicación que llama», dijo Microsoft en un aviso. «El atacante puede luego instalar programas, ver, cambiar o eliminar datos, o crear nuevas cuentas en el contexto permitido por los derechos del usuario».
Un aspecto crucial de Follina es que explotar la falla no requiere el uso de macros, lo que elimina la necesidad de que un adversario engañe a las víctimas para que habiliten las macros para desencadenar el ataque.
Desde que surgieron los detalles del problema a fines del mes pasado, ha sido objeto de una amplia explotación por diferentes actores de amenazas para lanzar una variedad de cargas útiles como AsyncRAT, QBot y otros ladrones de información. La evidencia indica que Follina ha sido abusada en la naturaleza desde al menos el 12 de abril de 2022.
Además de CVE-2022-30190, la actualización de seguridad acumulativa también resuelve varias fallas de ejecución remota de código en el Sistema de archivos de red de Windows (CVE-2022-30136), Windows Hyper-V (CVE-2022-30163), Protocolo ligero de acceso a directorios de Windows, Microsoft Office, extensiones de video HEVC y Azure RTOS GUIX Studio.
Otra deficiencia de seguridad a tener en cuenta es CVE-2022-30147 (puntuación CVSS: 7,8), una vulnerabilidad de elevación de privilegios que afecta a Windows Installer y que ha sido marcada con una evaluación de «Explotación más probable» por parte de Microsoft.
«Una vez que un atacante ha obtenido acceso inicial, puede elevar ese nivel inicial de acceso hasta el de un administrador, donde puede desactivar las herramientas de seguridad», dijo en un comunicado Kev Breen, director de investigación de amenazas cibernéticas en Immersive Labs. «En el caso de un ataque de ransomware, esto aprovecha el acceso a datos más confidenciales antes de cifrar los archivos».
La última ronda de parches también se destaca por no presentar ninguna actualización del componente Print Spooler por primera vez desde enero de 2022. También llegan cuando Microsoft dijo que es oficialmente retiro de apoyo por explorador de Internet 11 a partir del 15 de junio de 2022, en los canales semestrales de Windows 10 y los canales semestrales de Windows 10 IoT.
Parches de software de otros proveedores
Además de Microsoft, otros proveedores también han lanzado actualizaciones de seguridad desde principios de mes para corregir varias vulnerabilidades, que incluyen: