Se ha observado que un actor de amenazas persistentes avanzadas (APT) alineado con los intereses del estado chino utiliza como arma la nueva falla de d\u00eda cero en Microsoft Office para lograr la ejecuci\u00f3n del c\u00f3digo en los sistemas afectados.<\/p>\n
“TA413 CN APT detectado [in-the-wild] explotando el d\u00eda cero de Follina usando URL para entregar archivos ZIP que contienen documentos de Word que usan la t\u00e9cnica”, la firma de seguridad empresarial Proofpoint dijo<\/a> en un tuit.<\/p>\n “Las campa\u00f1as se hacen pasar por el ‘Mesa de Empoderamiento de la Mujer’ de la Administraci\u00f3n Central Tibetana y usan el dominio tibet-gov.web[.]aplicaci\u00f3n”.<\/p>\n TA413<\/a> es mejor conocido por sus campa\u00f1as dirigidas a la di\u00e1spora tibetana para entregar implantes como rata exiliada<\/a> y Sepulcro<\/a> as\u00ed como una extensi\u00f3n falsa del navegador Firefox denominada FriarFox.<\/p>\n La falla de seguridad de alta gravedad, denominada Follina y rastreada como CVE-2022-30190 (puntaje CVSS: 7.8), se relaciona con un caso de ejecuci\u00f3n remota de c\u00f3digo que abusa del esquema URI del protocolo “ms-msdt:” para ejecutar c\u00f3digo arbitrario.<\/p>\n Espec\u00edficamente, el ataque hace posible que los actores de amenazas eludan Vista protegida<\/a> salvaguardas para archivos sospechosos simplemente cambiando el documento a un archivo de formato de texto enriquecido (RTF), lo que permite que el c\u00f3digo inyectado se ejecute sin siquiera abrir el documento a trav\u00e9s del Panel de vista previa<\/a> en el Explorador de archivos de Windows.<\/p>\n Si bien el error atrajo una atenci\u00f3n generalizada la semana pasada, la evidencia apunta a la explotaci\u00f3n activa de la falla de la herramienta de diagn\u00f3stico en ataques del mundo real dirigidos a usuarios rusos hace m\u00e1s de un mes, el 12 de abril de 2022, cuando se le revel\u00f3 a Microsoft.<\/p>\n Sin embargo, la empresa no lo consider\u00f3 un problema de seguridad y cerr\u00f3 el informe de env\u00edo de vulnerabilidades, citando razones por las que la utilidad MSDT requer\u00eda un llave maestra<\/a> proporcionada por un t\u00e9cnico de soporte antes de que pueda ejecutar cargas \u00fatiles.<\/p>\n La vulnerabilidad existe en todas las versiones de Windows admitidas actualmente y se puede explotar a trav\u00e9s de las versiones de Microsoft Office Office 2013 a Office 21 y las ediciones Office Professional Plus.<\/p>\n “Este elegante ataque est\u00e1 dise\u00f1ado para eludir los productos de seguridad y pasar desapercibido al aprovechar la funci\u00f3n de plantilla remota de Microsoft Office y el protocolo ms-msdt para ejecutar c\u00f3digo malicioso, todo sin necesidad de macros”, Jerome Segura de Malwarebytes. se\u00f1alado<\/a>.<\/p>\n Aunque no hay un parche oficial disponible en este momento, Microsoft ha recomendado deshabilitar el protocolo URL de MSDT para evitar el vector de ataque. Adicionalmente, ha sido aconsejado<\/a> para desactivar el Panel de vista previa en el Explorador de archivos.<\/p>\n “Lo que hace que ‘Follina’ se destaque es que este exploit no aprovecha las macros de Office y, por lo tanto, funciona incluso en entornos donde las macros se han deshabilitado por completo”, dijo Nikolas Cemerikic de Immersive Labs.<\/p>\n “Todo lo que se requiere para que el exploit surta efecto es que un usuario abra y vea el documento de Word, o para ver una vista previa del documento usando el Panel de vista previa del Explorador de Windows. Dado que este \u00faltimo no requiere que Word se inicie por completo, esto efectivamente se convierte en un ataque de clic cero”.<\/p>\n <\/p>\n<\/div>\n![\"La](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2022\/05\/Investigadores-encuentran-nuevos-ataques-de-malware-dirigidos-a-entidades-gubernamentales.png\")
<\/a><\/div>\n![\"La](\"https:\/\/thehackernews.com\/new-images\/img\/b\/R29vZ2xl\/AVvXsEj6zHdXd3qpCksF0nkMkrjsOzaw-cxZGPHWoTEp9y7VPIeyPBFGsmIyIX8NTkqI1IDqnIXYnsZuIh4rc9f8TNUn7ndAZqtXc-t58X2oueTaL4Ijb4hgH-b183QvQ0ienXIipuOsqeLP5b8I2prKmp0RWvdZQgnKehVRKbqRQpin1JgfwlZeE_IB4EmesQ\/s1600\/crowdsec-728.jpg\")
<\/a><\/div>\n