Hace unos días, el investigador de seguridad conocido como “nao_sec” reportó la detección de un archivo de Word especialmente diseñado para explotar una vulnerabilidad día cero en Microsoft Office que permitiría la ejecución de código arbitrario apenas al abrir un archivo malicioso.
Este malware, cargado desde Bielorrusia a la plataforma VirusTotal, fue analizado por el experto Kevin Beaumont, quien reporta que este documento usa la función de plantilla remota de Word para recuperar un archivo HTML desde un servidor web remoto que emplea MSProtocol ms-msdt para cargar código y ejecutar código PowerShell.
Beaumont menciona que el código se ejecuta sin importar que las macros estén deshabilitadas en el sistema objetivo, sin mencionar que Microsoft Defender no parece poder evitar el ataque: “Aunque la vista protegida se activa, si se cambia el documento a formato RTF, el código malicioso se ejecutará sin siquiera abrir el documento”.
La falla fue bautizada como “Follina”, como guiño a que el archivo malicioso hace referencia a 0438, el código de área de un pequeño poblado italiano. El investigador, y otros miembros de la comunidad de la ciberseguridad, confirmaron que el exploit conocido permite ejecutar código remoto en algunas versiones de Windows y Office, incluyendo Office Pro Plus, Office 2013, Office 2016 y Office 2021.
El exploit parece no parece funcionar en las versiones recientes de Office y en implementaciones Windows Insider, lo que podría significar que Microsoft ya está trabajando para abordar este problema. Beaumont también cree que el exploit podría funcionar en estas versiones con algunas modificaciones.
Un grupo de hacking alojó un dominio web en Namecheap para emplearlo como servidor C&C; la compañía de hosting cerró rápidamente este sitio web. La comunidad de la ciberseguridad ha propuesto algunos mecanismos de mitigación, por lo que se prevé muy poco probable una oleada de explotación activa.
Para conocer más sobre riesgos de seguridad informática, malware, vulnerabilidades y tecnologías de la información, no dude en ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS).
Trabajando como arquitecto de soluciones de ciberseguridad, Alisa se enfoca en la protección de datos y la seguridad de datos empresariales. Antes de unirse a nosotros, ocupó varios puestos de investigador de ciberseguridad dentro de una variedad de empresas de seguridad cibernética. También tiene experiencia en diferentes industrias como finanzas, salud médica y reconocimiento facial.
Envía tips de noticias a info@noticiasseguridad.com o www.instagram.com/iicsorg/
También puedes encontrarnos en Telegram www.t.me/noticiasciberseguridad
