Nuevo día cero de Microsoft Office utilizado en ataques para ejecutar PowerShell

Los investigadores de seguridad han descubierto una nueva vulnerabilidad de día cero de Microsoft Office que se está utilizando en ataques para ejecutar comandos maliciosos de PowerShell a través de la herramienta de diagnóstico de Microsoft (MSDT) simplemente abriendo un documento de Word.

La vulnerabilidad, que aún no ha recibido un número de seguimiento y la comunidad de seguridad de la información la denomina 'Follina', se aprovecha mediante documentos de Word maliciosos que ejecutan comandos de PowerShell a través de MSDT.

Este nuevo día cero de Follina abre la puerta a un nuevo vector de ataque crítico que aprovecha los programas de Microsoft Office, ya que funciona sin privilegios elevados, evita la detección de Windows Defender y no necesita código de macro para habilitarse para ejecutar archivos binarios o scripts.

Microsoft Office día cero encontrado por accidente

El viernes pasado, el investigador de seguridad nao_sec encontró un documento de Word malicioso enviado a la plataforma de escaneo Virus Total desde una dirección IP en Bielorrusia.

"Estaba buscando archivos en VirusTotal que explotaban CVE-2021-40444. Luego encontré un archivo que abusa del esquema ms-msdt", dijo nao_sec a BleepingComputer en una conversación.

"Utiliza el enlace externo de Word para cargar el HTML y luego usa el esquema 'ms-msdt' para ejecutar el código de PowerShell", agregó el investigador en un tweet, publicando una captura de pantalla del código ofuscado a continuación:


El investigador de seguridad Kevin Beaumont descifró el código y explica en una publicación de blog que es una cadena de línea de comando que Microsoft Word ejecuta usando MSDT, incluso si los scripts de macro están deshabilitados.


El script de PowerShell anterior extraerá un archivo codificado en Base64 de un archivo RAR y lo ejecutará. Este archivo ya no está disponible, por lo que no está claro qué actividad maliciosa realizó el ataque.

Beaumont aclara las cosas diciendo que el documento de Word malicioso usa la función de plantilla remota para obtener un archivo HTML de un servidor remoto.

Luego, el código HTML usa el esquema de protocolo URI MS-MSDT de Microsoft para cargar código adicional y ejecutar el código de PowerShell.

El investigador agrega que la función Vista protegida en Microsoft Office, diseñada para alertar sobre archivos de ubicaciones potencialmente inseguras, se activa para advertir a los usuarios sobre la posibilidad de un documento malicioso.

Sin embargo, esta advertencia se puede omitir fácilmente cambiando el documento a un archivo de formato de texto enriquecido (RTF). Al hacerlo, el código ofuscado puede ejecutarse "sin siquiera abrir el documento (a través de la pestaña de vista previa en Explorer)".

Los investigadores reproducen el día cero

Múltiples investigadores de seguridad analizaron el documento malicioso compartido por nao_sec y reprodujeron con éxito el exploit con múltiples versiones de Microsoft Office.

En el momento de escribir este artículo, los investigadores han confirmado que la vulnerabilidad existe en Office 2013, 2016, Office Pro Plus desde abril (en Windows 11 con actualizaciones de mayo) y una versión parcheada de Office 2021:


Hoy, en un análisis separado, los investigadores de la empresa de servicios de ciberseguridad Huntress analizaron el exploit y brindaron más detalles técnicos sobre cómo funciona.

Descubrieron que el documento HTML que ponía las cosas en movimiento provenía de "xmlformats[.]com", un dominio que ya no se carga.

Huntress confirmó el hallazgo de Beaumont de que un documento RTF entregaría la carga útil sin ninguna interacción por parte del usuario (aparte de seleccionarlo), por lo que comúnmente se conoce como "explotación sin clic".


Los investigadores dicen que, dependiendo de la carga útil, un atacante podría usar este exploit para llegar a ubicaciones remotas en la red de la víctima.

Esto permitiría a un atacante recopilar hashes de las contraseñas de la máquina Windows de la víctima que son útiles para actividades posteriores a la explotación.


La detección podría ser difícil

Beaumont advierte que la detección de este nuevo método de explotación "probablemente no será muy buena", argumentando que el código malicioso se carga desde una plantilla remota, por lo que el documento de Word que contiene no se marcará como una amenaza, ya que no incluye códigos maliciosos. código, solo una referencia a él.

Para detectar un ataque a través de este vector, Huntress apunta a monitorear los procesos en el sistema porque la carga útil de Follina crea un proceso secundario de 'msdt.exe' bajo el padre infractor de Microsoft Office.


Para las organizaciones que confían en las reglas de reducción de la superficie de ataque (ASR) de Microsoft Defender, Huntress recomienda activar " Bloquear todas las aplicaciones de Office para que no creen procesos secundarios " en el modo Bloquear, lo que evitaría las vulnerabilidades de Follina.

Se recomienda ejecutar la regla en modo Auditoría primero y monitorear los resultados antes de usar ASR, para asegurarse de que los usuarios finales no experimenten efectos adversos.

Otra mitigación, de Didier Stevens , sería eliminar la asociación de tipo de archivo para ms-msdt para que Microsoft Office no pueda invocar la herramienta al abrir un documento de Folina malicioso.

Reportado a Microsoft en abril

Los investigadores de seguridad dicen que la vulnerabilidad de Follina parece haber sido descubierta e informada a Microsoft desde abril.

Según las capturas de pantalla publicadas por un miembro de Shadow Chaser Group , una asociación de estudiantes universitarios centrada en cazar y analizar amenazas persistentes avanzadas (APT), Microsoft fue informado de la vulnerabilidad, pero la descartó como "un problema no relacionado con la seguridad".

El argumento de Microsoft para esto fue que, si bien 'msdt.exe' se ejecutó, necesitaba un código de acceso al iniciarse y la empresa no pudo replicar el exploit.


Sin embargo, el 12 de abril, Microsoft cerró el informe de envío de vulnerabilidades (registrado como VULN-065524) y lo clasificó como "Este problema se solucionó", con un impacto en la seguridad de ejecución remota de código.


BleepingComputer se comunicó con Microsoft para obtener más detalles sobre la vulnerabilidad 'Follina', preguntando por qué no se consideró un riesgo de seguridad y si planean solucionarlo.

Actualizaremos el artículo cuando la empresa proporcione una declaración.

Fuente: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta