El 30 de mayo, los investigadores revelaron una vulnerabilidad de día cero en Microsoft Office que permite la ejecución remota de código (RCE) en la máquina de la víctima.
La vulnerabilidad, denominada "Follina", utiliza un documento de Word que activa una función para recuperar un archivo HTML de un servidor y, utilizando el método URI "ms-msdt://", logra ejecutar un PowerShell.
¿Qué versiones de Office son vulnerables?
Office 2013, 2016, 2019, 2021 y algunas versiones incluidas en la licencia de Microsoft 365 están sujetas a esta vulnerabilidad en Windows 10 y Windows 11.
¿Cuál es el riesgo en la ejecución remota de código (RCE)?
Los ataques de ejecución remota de código (RCE) permiten a un atacante instalar código malicioso en una computadora. El impacto de una vulnerabilidad RCE puede variar desde la infección de malware hasta obtener el control total de la máquina comprometida.
¿Cómo prevenir el ataque?
Microsoft ha publicado una guía sobre soluciones alternativas para mitigar la vulnerabilidad de Zero Day. Actualmente, deshabilitar el protocolo URL de MSDT parece ser la opción más fácil. Sin embargo, aún no está claro cuál es el impacto de deshabilitar este protocolo.
Sin embargo, si está utilizando OPSWAT MetaDefender con tecnología Deep CDR (Content Disarm and Reconstruction), no debe preocuparse. Su red y sus usuarios están a salvo de ataques, ya que Deep CDR deshabilita todo el contenido activo oculto en archivos maliciosos antes de llegar a los usuarios.
Neutralizar archivos tóxicos de Microsoft Word
Una vez que el archivo URL malicioso .docx ingresa a la red de su organización a través de correo electrónico o carga de archivos, MetaDefender lo analiza con varios motores antimalware utilizando OPSWAT MetaScan y analiza el archivo en busca de posibles amenazas, como objetos OLE, hipervínculos, secuencias de comandos, etc. . Según el resultado del procesamiento del archivo , se eliminó un objeto OLE y se saneó el contenido XML.
Después del proceso, el documento .docx ya no contiene el enlace HTML malicioso, ya que se reemplazó con un enlace "en blanco". Como resultado, incluso si sus usuarios internos abren el archivo, no se carga ni ejecuta malware.
Al verificar el archivo limpio liberado después del proceso con OPSWAT Metascan y OPSWAT Sandbox, podemos ver que el documento está libre de riesgos.
Deshabilitar JavaScript del archivo HTML
Si configura el motor Deep CDR para aceptar URL en archivos, aún está completamente protegido, ya que elimina JavaScript malicioso en el archivo HTML cargado porque se considera una amenaza potencial. Sin JavaScript, el código de PowerShell no se puede descargar ni ejecutar. Para que los usuarios puedan abrir y utilizar el archivo reconstruido sin amenazas con plena usabilidad.
No confíes en la detección
Este nuevo método de explotación, denominado Follina, es difícil de detectar porque el malware se carga desde un modelo remoto, por lo que el archivo .docx puede pasar por alto la defensa de la red, ya que no contiene código malicioso. Del mismo modo, los ciberdelincuentes continúan explotando vulnerabilidades y abusando de varios vectores de ataque aprovechando los programas y funciones de Microsoft Office, como macros, enlaces externos, objetos OLE, etc., para distribuir o activar malware. Para una verdadera implementación de Zero Trust , no puede confiar en un modelo de seguridad de detección para evitar ataques de Zero Day. Las organizaciones necesitan una solución de prevención integral para protegerse de amenazas conocidas y desconocidas.
Fuente: OPSWAT
Cuente con International IT y OPSWAT para implementar una metodología Zero Trust y proteger la infraestructura crítica de su empresa.
Descubra nuestras soluciones avanzadas, robustas y seguras NOC & SOC, Zero Trust, Next-Gen Firewalls, LGPD, Hardware, Monitoramento de Rede, Transferência de Arquivos Gerenciada, Consultoria de TIC, Treinamentos, Sustentação de Aplicações, Outsourcing, Licenciamento Geral e Help Desk.