Hace unos días se reportó la detección de una vulnerabilidad día cero en Microsoft Office que podría ser explotada a través de simples documentos de Word capaces de ejecutar comandos PowerShell a través de Microsoft Support Diagnostic Tool (MSDT).
Después de que la falla, bautizada como Follina, fuera divulgada públicamente y se lanzaran diversos exploits, Microsoft reconoció el error y le asignó la claves de identificación CVE-2022-30190, describiéndola como un error de ejecución remota de código (RCE).
El especialista en seguridad Kevin Beaumont, explica que los documentos maliciosos usan la función de plantilla remota de Word para recuperar un archivo HTML de un servidor web remoto, que a su vez usa el esquema de URI ms-msdt MSProtocol para cargar código y ejecutar PowerShell. Beaumont también explica que el error Follina también se puede explotar utilizando ms-search MSProtocol.
Foxit vulnerable
Aunque este ya era un riesgo de seguridad considerable, las cosas no se detuvieron ahí, pues recientemente se confirmó que la vulnerabilidad también podría ser activada en Foxit PDF Reader. A través de su cuenta de Twitter, el usuario @j00sean mencionó: “Mientras probaba lectores PDF, encontré una manera de activar el error CVE-2022-30190, también conocido como #Follina, en Foxit PDF Reader. Esto no funciona en Adobe debido a las protecciones sandbox”.
El usuario compartió un video de su prueba de concepto (PoC), mostrando que las pruebas fueron realizadas en Foxit PDF Reader v11.2.2.53575, la más reciente versión de la herramienta. Al momento, los desarrolladores del lector PDF no han lanzado actualizaciones de seguridad para abordar el error ni han emitido alertas de seguridad al respecto.
El investigador también publicó la carga útil para desencadenar el error en Foxit, agregando que la explotación exitosa requiere que el usuario objetivo permita la conexión en la ventana emergente de una advertencia de seguridad.
Explotación conocida
Grupos de actores de amenazas presuntamente chinos han estado explotando activamente esta vulnerabilidad. Los reportes señalan específicamente a TA413, un grupo de amenazas persistentes avanzadas (APT) que lanza constantes campañas de hacking contra la comunidad tibetana.
Finalmente, un reporte de Proofpoint detalla cómo diversos funcionarios en Europa y Estados Unidos han sido víctimas de esta campaña, recibiendo documentos maliciosos a través de emails de phishing presuntamente enviados por entidades legítimas.
Para conocer más sobre riesgos de seguridad informática, malware, vulnerabilidades y tecnologías de la información, no dude en ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS).
Trabajando como arquitecto de soluciones de ciberseguridad, Alisa se enfoca en la protección de datos y la seguridad de datos empresariales. Antes de unirse a nosotros, ocupó varios puestos de investigador de ciberseguridad dentro de una variedad de empresas de seguridad cibernética. También tiene experiencia en diferentes industrias como finanzas, salud médica y reconocimiento facial.
Envía tips de noticias a info@noticiasseguridad.com o www.instagram.com/iicsorg/
También puedes encontrarnos en Telegram www.t.me/noticiasciberseguridad
