Cybersecurity

Follina, el Zero-Day más reciente que afecta a Microsoft Office

(Por Javier Sebastián)
Varios medios especializados han publicado hoy la noticia informando de la nueva vulnerabilidad descubierta en Microsoft-Office y que ha recibido el nombre de Follina.
Esta vulnerabilidad permite la ejecución de código remoto a través del protocolo MSDT. Un atacante que consiga explotar esta vulnerabilidad puede ejecutar código arbitrario con los privilegios del usuario que ha ejecutado la aplicación que hace la llamada, lo que le permitiría instalar programas, ver, cambiar o eliminar datos, o crear nuevas cuentas en el contexto permitido por los derechos del usuario.

El ataque funciona del siguiente modo:
1. Un documento malicioso llega por correo electrónico, un clásico phishing.
2. La victima abre el documento de Word y desde este momento está ya comprometido.
3. El documento en cuestión ni siquiera emplea macros, simplemente, en el esquema de la estructura del documento de Word, se ejecuta una llamada a un sitio externo que contiene un documento HTML.
4. Este documento HTML, contiene dentro un script al que se le añaden muchos caracteres A para hacer que sobrepase los 4096 bytes, porque al igualar o sobrepasar esa cifra, se salta la autenticación por contraseña del MSDT y después ejecuta el código que viene a continuación.
5. Este script permite que al final, se pueda ejecutar código PowerShell, que nos permitiría ejecutar prácticamente cualquier cosa.

La forma de mitigar esta vulnerabilidad hasta que sea parcheada por parte de Microsoft, pasa por deshabilitar el protocolo MSDT. Desactivar el protocolo URL de MSDT impide a los solucionadores de problemas ejecutarse como enlaces en todo el sistema operativo. Se puede seguir accediendo a las funciones de solucionadores de problemas mediante la aplicación Get Help y en la configuración del sistema.

Para deshabilitar las URLs en formato MSDT hay que seguir estos pasos:
1. Ejecute el símbolo del sistema como administrador.
2. Realice una copia de seguridad de la clave del registro, ejecute el comando “reg export
HKEY_CLASSES_ROOT\ms-msdt filename”.
3. Ejecute el comando “reg delete HKEY_CLASSES_ROOT\ms-msdt /f”.

Si lo necesitamos, podemos volver al estado anterior del siguiente modo:
1. Ejecute el símbolo del sistema como administrador.
2. Para restaurar la copia de seguridad de la clave del registro, ejecute el comando “reg import filename”.
Se recomienda estar atento en los próximos días a los parches de Microsoft para poder mitigar esta vulnerabilidad tan pronto como sea posible y hasta entonces sería muy recomendable desactivar el MSDT y prestar una especial atención a posibles intentos de phishing o a los documentos que llegan vía email.


Author


Avatar