Una vulnerabilidad de día cero consiste en la aparición de un fallo de seguridad de software para el que aún no existe un parche debido a que los propios desarrolladores del software desconocían su existencia.
En estos últimos días, un equipo de investigación ha encontrado una de estas vulnerabilidades en Microsoft Office, concretamente en Microsoft Windows Support Diagnostic Tool (MSDT), catalogada como CVE-2022-30190 (Follina), la cuál, permite a los hackers ejecutar código de forma remota en sistemas operativos Windows, tanto en escritorio como en servidor, y afecta a Microsoft Office 2013, Office 2016, Office 2019 y Office 2021.
MSDT, es una aplicación que se utiliza para solucionar problemas y recopilar datos de diagnóstico para que los profesionales de soporte los analicen para resolver un problema. La herramienta, se puede activar desde otras aplicaciones como por ejemplo Microsoft Word, por lo que si la vulnerabilidad se explota correctamente, los ciberdelincuentes pueden ejecutar código arbitrario con los mismos privilegios de la aplicación que activó MSDT.
El proceso más común que suelen utilizar los atacantes, es el envío de correos electrónicos con un documento MS Office infectado adjunto, intentando en todo momento convencer de alguna manera a la víctima para que abra el archivo. Una vez que el usuario abre dicho archivo, el cuál contiene un enlace a un archivo HTML que contiene código JavaScript, se ejecuta código malicioso en la línea de comandos a través de MSDT, y si la explotación es maliciosa, el atacante podrá realizar las mismas acciones que tiene permitidas la víctima del sistema, ver, crear, modificar, eliminar, etc.
Mientras que Microsoft encuentra una solución, aconsejan deshabilitar todo el protocolo MSDT en el sistema para evitar que otras aplicaciones ejecuten automáticamente el solucionador de problemas de MSDT. Cabe destacar otras alternativas temporales como son utilizar las reglas de reducción de superficie de ataque (ASR) de Microsoft Defender, junto con la activación de la regla “Bloquear todas las aplicaciones de Office para que no creen procesos secundario”, evitando así que se explote esta vulnerabilidad, o eliminar la asociación de tipo de archivo ms-msdt:, a través del Registro de Windows o con el fragmento de PowerShell, lo que evitará que Office pueda invocar dicho archivo y por lo cuál se evitará la ejecución de la vulnerabilidad.
Desde Controlsys, aconsejamos poner en marcha alguna de estas soluciones lo más rápido posible para evitar así infecciones y realizamos el proceso de implementación de las mismas en caso de que se desconozca.