Vulnerabilidad de Windows MSDT de día cero obtiene un parche no oficial gratuito

Ya está disponible un parche no oficial gratuito para bloquear los ataques en curso contra los sistemas Windows que tienen como objetivo una vulnerabilidad crítica de día cero conocida como 'Follina'.

El error, ahora rastreado como CVE-2022-30190  y descrito por Redmond como una falla de ejecución remota de código de la herramienta de diagnóstico de soporte de Microsoft Windows (MSDT), afecta a todas las versiones de Windows que aún reciben actualizaciones de seguridad (Windows 7+ y Server 2008+).

Los atacantes que explotan con éxito este día cero pueden ejecutar código arbitrario con los privilegios de la aplicación que llama para instalar programas, ver, cambiar o eliminar datos, o crear nuevas cuentas de Windows según lo permitan los derechos del usuario.

Si bien Microsoft no ha emitido actualizaciones de seguridad para abordar este día cero explotado activamente, la compañía ha compartido medidas de mitigación para bloquear ataques al deshabilitar  el protocolo de URL de MSDT. actores malintencionados usan para ejecutar código en sistemas vulnerables.

Sería mejor desactivar el panel Vista previa en el Explorador de Windows para eliminarlo como un vector de ataque adicional explotable al obtener una vista previa de documentos maliciosos.

Asegure su sistema hasta que haya una solución oficial disponible

Aquí es donde entra en juego el servicio de microparches 0patch, con microparches gratuitos (y no oficiales) para algunas versiones de Windows  afectadas por el error de seguridad de Follina:

Windows 11 v21H2
Windows 10 (de v1803 a v21H2)
ventanas 7
Windows Server 2008 R2

En lugar de deshabilitar el controlador de protocolo de URL de MSDT (según lo recomendado por Microsoft), 0patch  agregó la desinfección  de la ruta proporcionada por el usuario (actualmente falta en el script de Windows) para evitar que la magia de diagnóstico de Windows no funcione en el sistema operativo para todas las aplicaciones.

"Tenga en cuenta que no importa qué versión de Office haya instalado, o si tiene instalado Office: la vulnerabilidad también podría explotarse a través de otros vectores de ataque", dijo el cofundador de 0patch, Mitja Kolsek  .

"Es por eso que también parcheamos Windows 7, donde el controlador de URL ms-msdt: no está registrado en absoluto".

Para implementar este microparche en su sistema Windows (gratis hasta que Microsoft haya emitido una solución oficial), debe  registrar una cuenta 0patch  e instalar el  agente 0patch .

Una vez que se inicia el agente, descargará y aplicará automáticamente el parche a menos que las políticas de seguridad locales lo impidan.


Explotado en ataques continuos

El lunes, la firma de seguridad empresarial Proofpoint reveló que el grupo de piratería TA413 vinculado a China vinculado a China  ahora está explotando esta vulnerabilidad en ataques contra su objetivo favorito, los disidentes de la diáspora tibetana.

El investigador de seguridad MalwareHunterTeam también detectó documentos maliciosos con nombres de archivo chinos que se utilizan para implementar  troyanos que roban contraseñas.  través de http://coolrat[.]xyz.

Sin embargo, los primeros ataques CVE-2022-30190 se detectaron hace más de un mes utilizando  amenazas de sextorsión  e  invitaciones a entrevistas de Sputnik Radio  como cebos, como una señal de que la falla fue y probablemente esté siendo explotada por otros actores de amenazas.

CISA también ha instado  los administradores y usuarios de Windows a desactivar el protocolo MSDT después de que Microsoft informara sobre la explotación activa de la vulnerabilidad en la naturaleza.

CrazymanArmy de Shadow Chaser Group , el investigador de seguridad que informó sobre el día cero en abril, dijo que Microsoft rechazó su presentación porque no se trata de un "problema relacionado con la seguridad ". Sin embargo, Redmond luego cerró el informe de presentación de vulnerabilidades con un impacto de ejecución remota de código .

Fuente: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta