Agencias/Ciudad de México.- Un documento de Word abre la puerta a la ejecución de código malicioso en un ordenador a través de una vulnerabilidad de día cero que se ha encontrado en la suite de ofimática Microsoft Office, con capacidad e actuar incluso si las macros están desactivadas.
El grupo de ciberseguridad Nao_sec identificó la semana pasada una vulnerabilidad de día cero en Microsoft Office, que el investigador Kevin Beaumont denominó Follina en una investigación posterior, por coincidir la referencia de la muestra analizada, 0438, con el código postal de la localidad italiana del mismo nombre.
Interesting maldoc was submitted from Belarus. It uses Word's external link to load the HTML and then uses the "ms-msdt" scheme to execute PowerShell code.https://t.co/hTdAfHOUx3 pic.twitter.com/rVSb02ZTwt
— nao_sec (@nao_sec) May 27, 2022
A través de un archivo de Word especialmente diseñado, un ciberatacante puede aprovecharse de Follina para ejecutar comandos PowerShell con la herramienta Microsoft Diagnostic Tool (MSDT), que envía información sobre el estado del sistema.
Esta ejecución de código malicioso sortea la detección de Windows Defender y puede hacerse incluso si se han desactivado las macros, una serie de instrucciones que se agrupan en un comando para realizar una tarea de forma automática.
Beaumont explica en una entrada en su blog que el documento Word “usa la función de plantilla remota para recuperar un archivo HTML de un servidor remoto, que a su vez usa el esquema de URI ms-msdt MSProtocol para cargar código y ejecutar PowerShell”. Esto, según señala, “no debería ser posible”.
El impacto sobre el equipo del usuario es inmediato, nada más abrir el documento de Word. El ciberatacante tendría acceso al sistema, con capacidad para recopilar ‘hashes’ de las contraseñas de las máquinas Windows.
Windows 11 (May) + Office Pro Plus (April)
+ Preview pane enabled https://t.co/ZIOADQqluo pic.twitter.com/oo0YETlrl4— Rich Warren (@buffaloverflow) May 29, 2022