top of page
  • Foto del escritorInternational IT

Zero Day: Microsoft Office utilizado en ataques para ejecutar PowerShell

Actualizado: 5 jul 2022

Los investigadores de ciberseguridad han descubierto una falla de día cero en Microsoft Office que podría usarse para ejecutar código arbitrario en los sistemas Windows afectados.



La vulnerabilidad apareció después de que un equipo de investigación de ciberseguridad independiente conocido como nao_sec descubriera un documento de Word (" 05-2022-0438.doc ") que estaba alojado en el sitio web de VirusTotal a través de una dirección IP en Bielorrusia. Los investigadores publicaron una serie de tuits la semana pasada, en los que dicen :

Maldoc usa el enlace externo de Word para cargar el HTML y luego usa el esquema 'ms-msdt' para ejecutar el código de PowerShell.

Captura de tela do código ofuscado - Fonte: nao_sec
Captura de pantalla del código ofuscado - Fuente: nao_sec


Según el investigador de seguridad Kevin Beaumont, quien apodó la falla "Follina", maldoc aprovecha la función de plantilla remota de Word para obtener un archivo HTML de un servidor, que luego usa "ms-msdt: //" para ejecutar la carga maliciosa.


La vulnerabilidad obtuvo su nombre porque la muestra maliciosa hace referencia a 0438, que es el código de área de Follina, un municipio de la ciudad italiana de Treviso.


MSDT es la abreviatura de Microsoft Support Diagnostics Tool, una utilidad que se utiliza para solucionar problemas y recopilar datos de diagnóstico para que los profesionales de soporte los analicen y resuelvan un problema.



El investigador Beaumont, agrega :


Están sucediendo muchas cosas aquí, pero el primer problema es que Microsoft Word está ejecutando código a través de MSDT (una herramienta de soporte), aunque las macros están deshabilitadas.
La Vista protegida se activa, aunque si cambia el documento a formato RTF, se ejecuta sin abrir el documento (a través de la pestaña de vista previa en el Explorador), sin Vista protegida .

En una revisión independiente, la firma de seguridad cibernética Huntress Labs detalló el flujo de ataque, observando el archivo HTML ("RDF842l.html") que desencadena el exploit que se origina en un dominio ahora inaccesible llamado "xmlformats[.]com". John Hammond de Huntress Labs dice :

Un archivo de formato de texto enriquecido (.RTF) puede desencadenar que este exploit se invoque solo con el Panel de vista previa en el Explorador de Windows.
Al igual que CVE-2021-40444, esto amplía la gravedad de esta amenaza no solo con un "clic único" para explotar, sino potencialmente con un desencadenante de "clic cero".

Varias versiones de Microsoft Office, incluidas Office, Office 2016 y Office 2021, se ven afectadas, aunque se espera que otras versiones también sean vulnerables.


Además, Richard Warren de NCC Group pudo demostrar un exploit en Office Professional Pro con parches de abril de 2022 ejecutándose en una máquina con Windows 11 actualizada con el panel de vista previa habilitado.


Finalmente, Beaumon concluye:

Microsoft deberá parchear la vulnerabilidad en diferentes ofertas de productos, y los proveedores de seguridad necesitarán una detección y un bloqueo sólidos.
 

Cuente con International IT para proteger a su empresa de ciberataques con lo mejor del mercado.

Entradas Recientes

Ver todo

Comments


Nos acompanhe nas redes sociais!

1200X628 - SAND.png
1200X628 -NOC.png

Ver todos os materiais gratuitos

bottom of page