Envío de registros, alertas y datos de telemetría a través de un diodo de datos

Descubre cómo
Utilizamos inteligencia artificial para traducir el sitio web y, aunque nos esforzamos por garantizar la precisión, es posible que las traducciones no sean siempre 100 % exactas. Agradecemos tu comprensión.

¿Hay algo que puedas hacer con respecto a Follina?

Por Vinh Lam, director técnico sénior de programas
Última actualización:
Comparte esta publicación

Se ha aprovechado una vulnerabilidad de día cero de Microsoft Office para ejecutar PowerShell

El 27 de mayo de 2022, Nao_Sec (1) descubrió un fallo de ejecución remota de código de día cero en Microsoft Office, al que el investigador Kevin Beaumont bautizó como «Follina». Esta vulnerabilidad permite a una persona no autenticada obtener acceso persistente y tomar el control de un sistema de destino de forma remota mediante la explotación de archivos de Microsoft Office descargados. Los hackers pueden utilizarla para ejecutar comandos maliciosos de PowerShell a través de la Herramienta de Diagnóstico de Microsoft (MSDT), incluso si las macros de Office están desactivadas.

«El documento utiliza la función de plantillas remotas de Word para recuperar un archivo HTML de un servidor web remoto, que a su vez utiliza el esquema URI ms-msdt MSProtocol para cargar código y ejecutar PowerShell», explicó el investigador Kevin Beaumont. «Eso no debería ser posible.» (2)

El 30 de mayo de 2022, Microsoft publicó el CVE-2022-30190. Las versiones de Microsoft Office 2013, 2016, 2019 y 2021, así como las ediciones Professional Plus, se ven afectadas. Sin embargo, a fecha de 1 de junio de 2022 no hay ningún parche disponible.

En esta entrada del blog, analizamos la muestra de malware y le mostramos cómo defenderse de los ataques.

Resumen del ataque que aprovecha la vulnerabilidad CVE-2022-30190

Al analizar la muestra, hemos descubierto que el método de ataque no es nuevo. El autor de la amenaza utilizó un vector de ataque similar al de la campaña que explotó la vulnerabilidad CVE-2021-40444 en septiembre de 2021. Ambos ataques utilizaron un enlace externo en un archivo de relaciones que conducía a un archivo HTML malicioso.

Mediante phishing o ingeniería social, los ciberdelincuentes enviaron un archivo de Microsoft Word (.docx) malicioso a las víctimas y las engañaron para que lo abrieran. El archivo contiene una URL externa que hace referencia a un HTML, el cual tiene un código JavaScript inusual.

una captura de pantalla del código XML de un archivo de Microsoft Word utilizado con fines maliciosos

Ese código JavaScript hace referencia a una URL con el esquema «ms-msdt:» que puede ejecutar código remoto. 

Imagen de código JavaScript que hace referencia a código de ejecución remota
Esta es una imagen recreada a partir de una prueba de concepto (POC) obtenida de https://twitter.com/0xBacco/status/1531599168363548672 para mostrar un ejemplo del código JavaScript.

Cómo prevenir el ataque

El 30 de mayo de 2022, Microsoft publicó una guía con soluciones provisionales para ayudar a los usuarios a mitigar la vulnerabilidad recientemente descubierta (3). En la actualidad, desactivar el protocolo URL de MSDT parece ser la opción más sencilla. No obstante, aún no está claro cuál podría ser el impacto de desactivar dicho protocolo.

Sin embargo, si utiliza OPSWAT MetaDefender con nuestra tecnología Deep CDR™ (Content Disarm and Reconstruction), líder en el sector, no tiene que preocuparse por nada de esto. Su red y sus usuarios están a salvo de los ataques, ya que todo el contenido activo oculto en los archivos maliciosos es desactivado por la tecnología Deep CDR™ antes de llegar a sus usuarios.

A continuación, le mostramos cómo la tecnología Deep CDR™ gestiona el archivo malicioso y genera un archivo seguro para sus usuarios, tanto si se ha subido a su aplicación web como si se ha recibido como archivo adjunto de un correo electrónico.

Neutraliza el archivo tóxico de Microsoft Word

Una vez que el archivo .docx que contiene una URL maliciosa entra en la red de su organización a través de correos electrónicos, cargas de archivos, etc., MetaDefender lo MetaDefender con múltiples motores antimalware mediante OPSWAT y examina el archivo en busca de posibles amenazas, como objetos OLE, hipervínculos, scripts, etc. A continuación, todas las amenazas incrustadas se eliminan o se desinfectan de forma recursiva, dependiendo de las configuraciones de la tecnología Deep CDR™. Como se muestra en el resultado del procesamiento del archivo, se eliminó un objeto OLE y se desinfectó el contenido XML.

Captura de pantalla delCloud  OPSWAT MetaDefender Cloud en la que se indica que no se han detectado amenazas

Una vez finalizado el proceso, el documento .docx ya no contiene el enlace HTML malicioso, ya que este ha sido sustituido por un enlace «en blanco». Por lo tanto, aunque los usuarios internos abran el archivo, no se cargará ni se ejecutará ningún malware.

Captura de pantalla del XML depurado de un documento de Microsoft

Al analizar el archivo limpio obtenido tras el proceso con OPSWAT y MetaDefender , podemos comprobar que el documento no presenta ningún riesgo.

Captura de pantalla de MetaDefender en la que se muestra que no se han detectado amenazas en el archivo desinfectado

Desactivar el JavaScript del archivo HTML

Aunque configures el motor de la tecnología Deep CDR™ para que acepte direcciones URL en los archivos, seguirás estando totalmente protegido. La tecnología Deep CDR™ elimina el código JavaScript malicioso del archivo HTML cargado, ya que se considera una amenaza potencial. Sin el código JavaScript, el código de PowerShell no puede descargarse ni ejecutarse. Tus usuarios pueden abrir y utilizar el archivo reconstruido, libre de amenazas, con total funcionalidad.

Captura de pantalla que muestra un archivo limpio y depurado con la tecnología Deep CDR™

No confíes en la detección

Este nuevo método de explotación es difícil de detectar porque el malware se carga desde una plantilla remota, por lo que el archivo .docx puede eludir las defensas de la red al no contener código malicioso (2). Del mismo modo, los ciberdelincuentes siguen explotando activamente las vulnerabilidades y haciendo uso indebido de diversos vectores de ataque, aprovechando los programas y funciones de Microsoft Office —como las macros, los enlaces externos y los objetos OLE, entre otros— para distribuir o activar malware. Para una verdadera implementación de «zero trust», no se puede confiar en un modelo de seguridad de «detectar para proteger» para prevenir los ataques de día cero. Las organizaciones necesitan una solución integral de prevención de amenazas que las proteja tanto del malware conocido como del desconocido.

La tecnología Deep CDR™ es una solución innovadora y eficaz para derrotar al malware evasivo avanzado y a los ataques de día cero. Detiene los ataques en la fase más temprana desactivando todos los componentes ejecutables sospechosos y, al mismo tiempo, proporcionando archivos 100 % libres de amenazas y seguros para su uso.

Más información sobre la tecnología Deep CDR™. Para saber cómo podemos ayudar a proporcionar una protección integral a su organización contra documentos maliciosos, hable ahora con un OPSWAT .

Referencia

[1] https://twitter.com/nao_sec/status/1530196847679401984

[2] https://medium.com/m/global-identity?redirectUrl=https%3A%2F%2Fdoublepulsar.com%2Ffollina-a-microsoft-office-code-execution-vulnerability-1a47fce5629e

[3] https://msrc-blog.microsoft.com/2022/05/30/guidance-for-cve-2022-30190-microsoft-support-diagnostic-tool-vulnerability/

¡Mantente al día con OPSWAT!

Regístrate hoy mismo para recibir las últimas novedades de la empresa, historias, información sobre eventos y mucho más.