El equipo de ciberseguridad denominado nao_sec descubrió un archivo de Word cargado en la plataforma VirusTotal desde una dirección IP localizada en Bielorrusia, dicho documento emplea la función de plantilla remota para obtener un HTML y posteriormente utiliza el esquema ms.msdt para ejecutar el código malicioso por medio de powershell.

El documento malicioso (” 05-2022-0438.doc “) también denominado “Follina” cuya vulnerabilidad ha sido identificada bajo el CVE-2022-30190 con una calificación de 7,8/10 según CVSS, utiliza el enlace externo de Word para descargar el archivo HTML (“RDF842l.html”) el cual desencadena un exploit usando el esquema URI “ms-msdt://” para ejecutar el payload por medio de powershell, siendo MSDT (Microsoft Support Diagnostics Tool) una utilidad utilizada por Microsoft para recopilar información de diagnóstico y solucionar problemas a nivel de sistema operativo, dicha utilidad es utilizada frecuentemente por los usuarios, es importante destacar que una vez ejecutado el exploit este intenta establecer comunicación con un servidor de CyC el cual ha sido rastreado al dominio “xmlformats[.]com”, cabe resaltar que dicho dominio ya no se encuentra disponible.

Análisis de la vulnerabilidad

En otro análisis realizado por la entidad de ciber seguridad Huntress Labs se pudo determinar que mediante un archivo de formato RTF (rich format text) era posible invocar el exploit mediante el uso de la vista previa que maneja el explorador de Windows en la actualidad, generando así un nivel de criticidad mas alto, teniendo en cuenta que no sería necesario abrir el archivo para desencadenar el ataque.

Según la información entregada por los investigadores varias versiones de Office se encuentran afectadas entre las que se encuentran Office, Office 2016 y Office 2021, cabe resaltar que no descartan que otras versiones también sean vulnerables.

Recomendaciones:

 Hasta el momento no se han generado parches que solucionen la vulnerabilidad, pero Microsoft ha publicado soluciones alternativas que pueden mitigar la problemática de manera temporal, para ello se ha compartido el siguiente link https://msrc-blog.microsoft.com/2022/05/30/guidance-for-cve-2022-30190-microsoft-support- diagnostic-tool-vulnerability/ en donde se brindan 2 opciones temporales, en primera instancia se recomienda deshabilitar el protocolo URL utilizado por MSDT, esto con el fin de evitar que el solucionador de problemas inicie como enlace y el segundo, donde se sugiere la activación de protección en la nube asociada a Windows Defender, mediante la cual se realizan detecciones de amenazas nuevas de manera rápida o en caso de manejar un Endpoint activar la regla “BlockOfficeCreateProcessRule”, la cual impide que las aplicaciones de Office creen procesos secundarios durante su ejecución, aunque, la activación de dicha regla afectaría la ejecución adecuada de macros. Con el uso de la regla se evitaría la generación de procesos secundarios maliciosos siendo este un comportamiento muy común durante el despliegue y ejecución de un malware.

Fuentes:

 

                                                            Info@etek.com

Colombia                               Perú                                                      India                      

+57 (1) 2571520                     +51 (1) 6124343                              +91-9873451221

Escrito por: Fabian Caballero

Cyber Intelligence Engineer