Los investigadores de seguridad han descubierto una nueva vulnerabilidad de día cero de Microsoft Office que se está utilizando en ataques para ejecutar comandos maliciosos de PowerShell a través de la herramienta de diagnóstico de Microsoft (MSDT) simplemente abriendo un documento de Word
La vulnerabilidad, que aún no ha recibido un número de seguimiento y la comunidad de seguridad de la información la denomina 'Follina', se aprovecha mediante documentos de Word maliciosos que ejecutan comandos de PowerShell a través de MSDT. Este nuevo día cero de Follina abre la puerta a un nuevo vector de ataque crítico que aprovecha los programas de Microsoft Office, ya que funciona sin privilegios elevados, evita la detección de Windows Defender y no necesita código de macro para habilitarse para ejecutar archivos binarios o scripts.
Microsoft Office día cero encontrado por accidente
El viernes pasado, el investigador de seguridad nao_sec encontró un documento de Word malicioso enviado a la plataforma de escaneo Virus Total desde una dirección IP en Bielorrusia. "Estaba buscando archivos en VirusTotal que explotaban CVE-2021-40444. Luego encontré un archivo que abusa del esquema ms-msdt", dijo nao_sec a BleepingComputer en una conversación. "Utiliza el enlace externo de Word para cargar el HTML y luego usa el esquema 'ms-msdt' para ejecutar el código de PowerShell", agregó el investigador en un tweet, publicando una captura de pantalla del código ofuscado a continuación:
El investigador de seguridad Kevin Beaumont descifró el código y explica en una publicación de blog que es una cadena de línea de comando que Microsoft Word ejecuta usando MSDT, incluso si los scripts de macro están deshabilitados .El script de PowerShell anterior extraerá un archivo codificado en Base64 de un archivo RAR y lo ejecutará. Este archivo ya no está disponible, por lo que no está claro qué actividad maliciosa realizó el ataque. Beaumont aclara las cosas diciendo que el documento de Word malicioso usa la función de plantilla remota para obtener un archivo HTML de un servidor remoto.
Luego, el código HTML usa el esquema de protocolo URI MS-MSDT de Microsoft para cargar código adicional y ejecutar el código de PowerShell. El investigador agrega que la función Vista protegida en Microsoft Office, diseñada para alertar sobre archivos de ubicaciones potencialmente inseguras, se activa para advertir a los usuarios sobre la posibilidad de un documento malicioso. Sin embargo, esta advertencia se puede omitir fácilmente cambiando el documento a un archivo de formato de texto enriquecido (RTF). Al hacerlo, el código ofuscado puede ejecutarse "sin siquiera abrir el documento (a través de la pestaña de vista previa en Explorer)".
Los investigadores reproducen el día cero
Múltiples investigadores de seguridad analizaron el documento malicioso compartido por nao_sec y reprodujeron con éxito el exploit con múltiples versiones de Microsoft Office.
Más información en : bleepingcomputer.com
Historias relacionadas :
Microsoft : anuncia que bloqueará los macros descargas en las versiones de Office desde 2013
Microsoft Office con Word, Excel y PowerPoint : ¿Cómo obtener de forma gratuita
Microsoft : ahora invita a la gente a piratear Office ofreciendo un 50% de descuento
Microsoft : ahora está en desarrollo la transparencia de Mica en app Office
Podriá obtener Microsoft Office en forma gratuita
Novedades de Microsoft Office 2021
Microsoft lanza Office 2021 para Windows y macOS
[Fuente]: bleepingcomputer.com
microsoft.( 30 de Mayo de 2022).microsoft office. Modificado por Carlos Zambrado Recuperado unsplash.com
