Investigadores advierten sobre una nueva vulnerabilidad de día cero de Microsoft Office

El grupo independiente de investigación de ciberseguridad Nao_Sec ha revelado detalles sorprendentes de una nueva vulnerabilidad de día cero identificada en Microsoft Office.

La falla de seguridad llamada 'Follina' recibió el apodo debido a la referencia 0438 en la muestra maliciosa, el cual es el código de área de un municipio de Treviso, Italia. 

Un investigador de Nao_Sec publicó en Twitter sobre el descubrimiento de un archivo de Word de aspecto extraño titulado 05-2022-0438.doc cargado con VirtusTotal desde una dirección IP de Bielorrusia. Desde ese momento el equipo comenzó a examinar el malware. 

Detalles de la vulnerabilidad

Una investigación adicional reveló que se podría abusar del día cero para lograr la ejecución de código arbitrario en dispositivos vulnerables que ejecutan el sistema operativo Windows. Los investigadores de Nao_Sec explicaron en la publicación de blog que los atacantes usaron el enlace externo de MS Word para cargar el HTML y luego usaron el esquema 'ms-msdt' para ejecutar el código de PowerShell.

La herramienta de diagnóstico de soporte de Microsoft o MSDT es una utilidad que se utiliza para recopilar y solucionar problemas de datos de diagnóstico para que los expertos de soporte analicen y solucionen el problema.

En este caso, el equipo descubrió que el código se ejecuta incluso cuando las macros están deshabilitadas. Además, Microsoft Defender tampoco puede evitar la ejecución por ahora.

Otros investigadores, incluidos Didier Stevens y Rich Warren de NCC Group, también confirmaron que esta falla de día cero podría explotarse de forma remota para ejecutar código arbitrario en varias versiones de MS Office y MS Windows.

Te recomendamos METADATA, el podcast de tecnología de RPP. Noticias, análisis, reseñas, recomendaciones y todo lo que debes saber sobre el mundo tecnológico. Para escucharlo mejor, #QuedateEnCasa.