{"id":5897,"date":"2022-06-03T16:27:18","date_gmt":"2022-06-03T21:27:18","guid":{"rendered":"https:\/\/etek.com\/es\/?p=5897"},"modified":"2022-06-03T16:27:18","modified_gmt":"2022-06-03T21:27:18","slug":"se-ha-detectado-una-nueva-vulnerabilidad-sobre-microsoft-office-la-cual-permitiria-ejecutar-codigo-malicioso-en-los-sistemas-afectados","status":"publish","type":"post","link":"https:\/\/etek.com\/es\/se-ha-detectado-una-nueva-vulnerabilidad-sobre-microsoft-office-la-cual-permitiria-ejecutar-codigo-malicioso-en-los-sistemas-afectados\/","title":{"rendered":"Se ha detectado una nueva vulnerabilidad sobre Microsoft Office, la cual permitir\u00eda ejecutar c\u00f3digo malicioso en los sistemas afectados."},"content":{"rendered":"\t\t<div data-elementor-type=\"wp-post\" data-elementor-id=\"5897\" class=\"elementor elementor-5897\" data-elementor-post-type=\"post\">\n\t\t\t\t\t\t<section class=\"elementor-section elementor-top-section elementor-element elementor-element-01f97fc elementor-section-boxed elementor-section-height-default elementor-section-height-default\" data-id=\"01f97fc\" data-element_type=\"section\">\n\t\t\t\t\t\t<div class=\"elementor-container elementor-column-gap-default\">\n\t\t\t\t\t<div class=\"elementor-column elementor-col-100 elementor-top-column elementor-element elementor-element-e96b153\" data-id=\"e96b153\" data-element_type=\"column\">\n\t\t\t<div class=\"elementor-widget-wrap elementor-element-populated\">\n\t\t\t\t\t\t<div class=\"elementor-element elementor-element-db349e6 elementor-widget elementor-widget-text-editor\" data-id=\"db349e6\" data-element_type=\"widget\" data-widget_type=\"text-editor.default\">\n\t\t\t\t<div class=\"elementor-widget-container\">\n\t\t\t<style>\/*! elementor - v3.20.0 - 13-03-2024 *\/\n.elementor-widget-text-editor.elementor-drop-cap-view-stacked .elementor-drop-cap{background-color:#69727d;color:#fff}.elementor-widget-text-editor.elementor-drop-cap-view-framed .elementor-drop-cap{color:#69727d;border:3px solid;background-color:transparent}.elementor-widget-text-editor:not(.elementor-drop-cap-view-default) .elementor-drop-cap{margin-top:8px}.elementor-widget-text-editor:not(.elementor-drop-cap-view-default) .elementor-drop-cap-letter{width:1em;height:1em}.elementor-widget-text-editor .elementor-drop-cap{float:left;text-align:center;line-height:1;font-size:50px}.elementor-widget-text-editor .elementor-drop-cap-letter{display:inline-block}<\/style>\t\t\t\t<p>El equipo de ciberseguridad denominado nao_sec descubri\u00f3 un archivo de Word cargado en la plataforma VirusTotal desde una direcci\u00f3n IP localizada en Bielorrusia, dicho documento emplea la funci\u00f3n de plantilla remota para obtener un HTML y posteriormente utiliza el esquema ms.msdt para ejecutar el c\u00f3digo malicioso por medio de powershell.<\/p><p>El documento malicioso (&#8221; 05-2022-0438.doc &#8220;) tambi\u00e9n denominado \u201cFollina\u201d cuya vulnerabilidad ha sido identificada bajo el CVE-2022-30190 con una calificaci\u00f3n de 7,8\/10 seg\u00fan CVSS, utiliza el enlace externo de Word para descargar el archivo HTML (&#8220;RDF842l.html&#8221;) el cual desencadena un exploit usando el esquema URI &#8220;ms-msdt:\/\/&#8221; para ejecutar el payload por medio de powershell, siendo MSDT (Microsoft Support Diagnostics Tool) una utilidad utilizada por Microsoft para recopilar informaci\u00f3n de diagn\u00f3stico y solucionar problemas a nivel de sistema operativo, dicha utilidad es utilizada frecuentemente por los usuarios, es importante destacar que una vez ejecutado el exploit este intenta establecer comunicaci\u00f3n con un servidor de CyC el cual ha sido rastreado al dominio &#8220;xmlformats[.]com&#8221;, cabe resaltar que dicho dominio ya no se encuentra disponible.<\/p>\t\t\t\t\t\t<\/div>\n\t\t\t\t<\/div>\n\t\t\t\t\t<\/div>\n\t\t<\/div>\n\t\t\t\t\t<\/div>\n\t\t<\/section>\n\t\t\t\t<section class=\"elementor-section elementor-top-section elementor-element elementor-element-e50bf9a elementor-section-boxed elementor-section-height-default elementor-section-height-default\" data-id=\"e50bf9a\" data-element_type=\"section\">\n\t\t\t\t\t\t<div class=\"elementor-container elementor-column-gap-default\">\n\t\t\t\t\t<div class=\"elementor-column elementor-col-100 elementor-top-column elementor-element elementor-element-b0c1571\" data-id=\"b0c1571\" data-element_type=\"column\">\n\t\t\t<div class=\"elementor-widget-wrap elementor-element-populated\">\n\t\t\t\t\t\t<div class=\"elementor-element elementor-element-5738b40 elementor-widget elementor-widget-image\" data-id=\"5738b40\" data-element_type=\"widget\" data-widget_type=\"image.default\">\n\t\t\t\t<div class=\"elementor-widget-container\">\n\t\t\t<style>\/*! elementor - v3.20.0 - 13-03-2024 *\/\n.elementor-widget-image{text-align:center}.elementor-widget-image a{display:inline-block}.elementor-widget-image a img[src$=\".svg\"]{width:48px}.elementor-widget-image img{vertical-align:middle;display:inline-block}<\/style>\t\t\t\t\t\t\t\t\t\t<img decoding=\"async\" src=\"https:\/\/etek.com\/es\/wp-content\/uploads\/2022\/06\/ataque-MF.png\" title=\"\" alt=\"\" loading=\"lazy\" \/>\t\t\t\t\t\t\t\t\t\t\t\t\t<\/div>\n\t\t\t\t<\/div>\n\t\t\t\t<div class=\"elementor-element elementor-element-a8b0572 elementor-widget elementor-widget-heading\" data-id=\"a8b0572\" data-element_type=\"widget\" data-widget_type=\"heading.default\">\n\t\t\t\t<div class=\"elementor-widget-container\">\n\t\t\t<style>\/*! elementor - v3.20.0 - 13-03-2024 *\/\n.elementor-heading-title{padding:0;margin:0;line-height:1}.elementor-widget-heading .elementor-heading-title[class*=elementor-size-]>a{color:inherit;font-size:inherit;line-height:inherit}.elementor-widget-heading .elementor-heading-title.elementor-size-small{font-size:15px}.elementor-widget-heading .elementor-heading-title.elementor-size-medium{font-size:19px}.elementor-widget-heading .elementor-heading-title.elementor-size-large{font-size:29px}.elementor-widget-heading .elementor-heading-title.elementor-size-xl{font-size:39px}.elementor-widget-heading .elementor-heading-title.elementor-size-xxl{font-size:59px}<\/style><span class=\"elementor-heading-title elementor-size-default\">An\u00e1lisis de la vulnerabilidad<\/span>\t\t<\/div>\n\t\t\t\t<\/div>\n\t\t\t\t<div class=\"elementor-element elementor-element-8540e76 elementor-widget elementor-widget-text-editor\" data-id=\"8540e76\" data-element_type=\"widget\" data-widget_type=\"text-editor.default\">\n\t\t\t\t<div class=\"elementor-widget-container\">\n\t\t\t\t\t\t\t<p>En otro an\u00e1lisis realizado por la entidad de ciber seguridad Huntress Labs se pudo determinar que mediante un archivo de formato RTF (rich format text) era posible invocar el exploit mediante el uso de la vista previa que maneja el explorador de Windows en la actualidad, generando as\u00ed un nivel de criticidad mas alto, teniendo en cuenta que no ser\u00eda necesario abrir el archivo para desencadenar el ataque.<\/p><p>Seg\u00fan la informaci\u00f3n entregada por los investigadores varias versiones de Office se encuentran afectadas entre las que se encuentran Office, Office 2016 y Office 2021, cabe resaltar que no descartan que otras versiones tambi\u00e9n sean vulnerables.<\/p><h4>Recomendaciones:<\/h4><p><strong>\u00a0<\/strong>Hasta el momento no se han generado parches que solucionen la vulnerabilidad, pero Microsoft ha publicado soluciones alternativas que pueden mitigar la problem\u00e1tica de manera temporal, para ello se ha compartido el siguiente link https:\/\/msrc-blog.microsoft.com\/2022\/05\/30\/guidance-for-cve-2022-30190-microsoft-support- diagnostic-tool-vulnerability\/ en donde se brindan 2 opciones temporales, en primera instancia se recomienda deshabilitar el protocolo URL utilizado por MSDT, esto con el fin de evitar que el solucionador de problemas inicie como enlace y el segundo, donde se sugiere la activaci\u00f3n de protecci\u00f3n en la nube asociada a Windows Defender, mediante la cual se realizan detecciones de amenazas nuevas de manera r\u00e1pida o en caso de manejar un Endpoint activar la regla &#8220;BlockOfficeCreateProcessRule&#8221;, la cual impide que las aplicaciones de Office creen procesos secundarios durante su ejecuci\u00f3n, aunque, la activaci\u00f3n de dicha regla afectar\u00eda la ejecuci\u00f3n adecuada de macros. Con el uso de la regla se evitar\u00eda la generaci\u00f3n de procesos secundarios maliciosos siendo este un comportamiento muy com\u00fan durante el despliegue y ejecuci\u00f3n de un malware.<\/p><h4>Fuentes:<\/h4><ul><li><a href=\"https:\/\/blog.underc0de.org\/investigadores-detectan-un-nuevo-exploit-de-dia-cero-de-microsoft-office\/\">https:\/\/blog.underc0de.org\/investigadores-detectan-un-nuevo-exploit-de-dia-cero-de-microsoft-office\/<\/a><\/li><li><a href=\"https:\/\/blog.elhacker.net\/2022\/05\/documentos-microsoft-office-word-y-excel-permiten-infectar-malware-sin-macros.html\">https:\/\/blog.elhacker.net\/2022\/05\/documentos-microsoft-office-word-y-excel-permiten-infectar-malware-sin- html<\/a><\/li><li><a href=\"https:\/\/thehackernews.com\/2022\/05\/watch-out-researchers-spot-new.html\">https:\/\/thehackernews.com\/2022\/05\/watch-out-researchers-spot-new.html<\/a><\/li><li><a href=\"https:\/\/securityaffairs.co\/wordpress\/131800\/hacking\/multiple-microsoft-office-versions-zero-day.html\">https:\/\/securityaffairs.co\/wordpress\/131800\/hacking\/multiple-microsoft-office-versions-zero-day.html<\/a><\/li><\/ul><p>\u00a0<\/p>\t\t\t\t\t\t<\/div>\n\t\t\t\t<\/div>\n\t\t\t\t<div class=\"elementor-element elementor-element-511e2ef elementor-widget elementor-widget-image\" data-id=\"511e2ef\" data-element_type=\"widget\" data-widget_type=\"image.default\">\n\t\t\t\t<div class=\"elementor-widget-container\">\n\t\t\t\t\t\t\t\t\t\t\t\t\t<img decoding=\"async\" src=\"https:\/\/etek.com\/es\/wp-content\/uploads\/2022\/05\/Imagen2.png\" title=\"\" alt=\"\" loading=\"lazy\" \/>\t\t\t\t\t\t\t\t\t\t\t\t\t<\/div>\n\t\t\t\t<\/div>\n\t\t\t\t<div class=\"elementor-element elementor-element-51e50d1 elementor-widget elementor-widget-text-editor\" data-id=\"51e50d1\" data-element_type=\"widget\" data-widget_type=\"text-editor.default\">\n\t\t\t\t<div class=\"elementor-widget-container\">\n\t\t\t\t\t\t\t<p>\u00a0 \u00a0 \u00a0 \u00a0 \u00a0 \u00a0 \u00a0 \u00a0 \u00a0 \u00a0 \u00a0 \u00a0 \u00a0 \u00a0 \u00a0 \u00a0 \u00a0 \u00a0 \u00a0 \u00a0 \u00a0 \u00a0 \u00a0 \u00a0 \u00a0 \u00a0 \u00a0 \u00a0 \u00a0 \u00a0\u00a0<a href=\"mailto:Info@etek.com\">Info@etek.com<\/a><\/p><h6>Colombia\u00a0 \u00a0 \u00a0 \u00a0 \u00a0 \u00a0 \u00a0 \u00a0 \u00a0 \u00a0 \u00a0 \u00a0 \u00a0 \u00a0 \u00a0 \u00a0Per\u00fa\u00a0 \u00a0 \u00a0 \u00a0 \u00a0 \u00a0 \u00a0 \u00a0 \u00a0 \u00a0 \u00a0 \u00a0 \u00a0 \u00a0 \u00a0 \u00a0 \u00a0 \u00a0 \u00a0 \u00a0 \u00a0 \u00a0 \u00a0 \u00a0 \u00a0 \u00a0 \u00a0 India\u00a0 \u00a0 \u00a0 \u00a0 \u00a0 \u00a0 \u00a0 \u00a0 \u00a0 \u00a0 \u00a0\u00a0<\/h6><p>+57 (1) 2571520\u00a0 \u00a0 \u00a0 \u00a0 \u00a0 \u00a0 \u00a0 \u00a0 \u00a0 \u00a0 \u00a0+51\u00a0(1) 6124343\u00a0 \u00a0 \u00a0 \u00a0 \u00a0 \u00a0 \u00a0 \u00a0 \u00a0 \u00a0 \u00a0 \u00a0 \u00a0 \u00a0 \u00a0\u00a0<span style=\"letter-spacing: 0px;\">+91-9873451221<\/span><\/p><p><strong>Escrito por: <em>Fabian Caballero<\/em><\/strong><\/p><p>Cyber Intelligence Engineer<\/p>\t\t\t\t\t\t<\/div>\n\t\t\t\t<\/div>\n\t\t\t\t\t<\/div>\n\t\t<\/div>\n\t\t\t\t\t<\/div>\n\t\t<\/section>\n\t\t\t\t<\/div>\n\t\t","protected":false},"excerpt":{"rendered":"<p>El equipo de ciberseguridad denominado nao_sec descubri\u00f3 un archivo de Word cargado en la plataforma VirusTotal desde una direcci\u00f3n IP localizada en Bielorrusia, dicho documento emplea la funci\u00f3n de plantilla remota para obtener un HTML y posteriormente utiliza el esquema ms.msdt para ejecutar el c\u00f3digo malicioso por medio de powershell. El documento malicioso (&#8221; 05-2022-0438.doc [&hellip;]<\/p>\n","protected":false},"author":2,"featured_media":5898,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[1],"tags":[],"_links":{"self":[{"href":"https:\/\/etek.com\/es\/wp-json\/wp\/v2\/posts\/5897"}],"collection":[{"href":"https:\/\/etek.com\/es\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/etek.com\/es\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/etek.com\/es\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/etek.com\/es\/wp-json\/wp\/v2\/comments?post=5897"}],"version-history":[{"count":0,"href":"https:\/\/etek.com\/es\/wp-json\/wp\/v2\/posts\/5897\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/etek.com\/es\/wp-json\/"}],"wp:attachment":[{"href":"https:\/\/etek.com\/es\/wp-json\/wp\/v2\/media?parent=5897"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/etek.com\/es\/wp-json\/wp\/v2\/categories?post=5897"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/etek.com\/es\/wp-json\/wp\/v2\/tags?post=5897"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}