CCN-CERT AV 11/22 Actualización de seguridad para Microsoft Office

Cabecera
separador
Actualización de seguridad para Microsoft Office

Fecha de publicación: 31/05/2022
Nivel de peligrosidad: CRÍTICO

Microsoft ha revelado una nueva vulnerabilidad registrada como CVE-2022-30190 denominada como Follina por los expertos de ciberseguridad y que reside en el protocolo URL Microsoft Support Diagnostic Tool (MSDT). El producto Microsoft Word, software integrado por defecto en el paquete Microsoft Office, sería un vector de ataque para explotar esta vulnerabilidad.

Este fallo de seguridad ha sido descubierto por un equipo de investigación de ciberseguridad independiente conocido como nao_sec. Afecta al sistema operativo Windows y permite a un atacante remoto ejecutar comandos en el sistema de destino. La vulnerabilidad ha sido catalogada como alta por el fabricante, aunque cuenta con una gran superficie de ataque.

A continuación, se detallan las especificaciones técnicas de la vulnerabilidad de Microsoft, para cuya protección microClaudia ya dispone de vacunas que protegen contra su explotación.

CVE

Descripción

CVE-2022-30190

Vulnerabilidad que existe debido a una configuración errónea en la validación de entrada al procesar la URL dentro de la Herramienta de Diagnóstico de Soporte de Microsoft Windows (MSDT). Permite a un atacante remoto ejecutar código arbitrario a través de MSDT (Microsoft Diagnostics Tool) y las utilidades de Microsoft Office, concretamente Microsoft Word.

Este fallo de seguridad se ha descubierto debido a la detección de un documento cargado en VirusTotal que explota la vulnerabilidad denominada Follina. Este documento utiliza Microsoft Word para recuperar y cargar un archivo HTML (ejemplo en Any.run) de un servidor web remoto, que a su vez utiliza el esquema URI del protocolo ms-msdt para cargar un código dañino y ejecutarlo a través de PowerShell.

La base de datos del NIST no ha registrado este CVE y, por tanto, todavía no ha asignado una puntuación según la escala CVSSv3. Sin embargo, Microsoft ha catalogado la vulnerabilidad como alta. Además, ha sido detectada en YouTube una prueba de concepto (PoC) sobre la misma, pero no se tiene constancia de la disponibilidad de exploits que aprovechen la vulnerabilidad indicada en la tabla anterior. No obstante, se ha publicado un análisis técnico detallado sobre ella que incluye reglas Yara, TTPs de Mitre y muestras de los archivos y códigos dañinos utilizados para explotar esta vulnerabilidad.

Recursos afectados

La vulnerabilidad descrita con anterioridad afecta a los siguientes productos y sus correspondientes versiones en sistemas Windows:

  • Microsoft Office 2013. 2016, 2019 y 2021

Solución a la vulnerabilidad

Microsoft ha publicado una actualización de seguridad y una guía con pasos a seguir para protegerse ante la vulnerabilidad descrita.

Recomendaciones

Se recomienda encarecidamente a los usuarios y administradores de sistemas que apliquen los parches de seguridad en cuanto se encuentren disponibles, con el fin de evitar la exposición a ataques externos y la toma de control de los sistemas informáticos.

Por el momento, Microsoft ha revelado una medida de mitigación alternativa a la actualización de los sistemas tal como seguir la guía de seguridad, en la que se recomienda desactivar el protocolo URL de MSDT.

Se recuerda que microClaudia dispone ya de vacunas que protegen contra la explotación de esta vulnerabilidad.

Referencias

Atentamente,

Equipo CCN-CERT

 
Avisos

Avisos

Información IMPORTANTE sobre vulnerabilidades, con alto nivel de riesgo, que deben ser atendidas con especial prontitud por parte de las organizaciones potencialmente afectadas.

Alertas

Alertas

Información sobre situaciones que requieren atención INMEDIATA por parte de las organizaciones potencialmente afectadas.

Sobre CCN-CERT

Política de privacidad

Aviso de Confidencialidad

El presente mensaje va dirigido de manera exclusiva a su destinatario. Si usted no es el destinatario de este mensaje (o la persona responsable de su entrega), considérese advertido de que lo ha recibido por error, así como de la prohibición legal de realizar cualquier tipo de uso, difusión, reenvío, impresión o copia del mismo. Si ha recibido este mensaje por error, por favor notifíquelo al remitente y proceda a destruirlo inmediatamente.

Síganos en redes sociales:
Twitter Linkedin Youtube Telegram
© 2022 Centro Criptológico Nacional, Argentona 30, 28023 MADRID
Si desea cancelar su suscripción a estos boletines pinche aquí
 
Ministerio de Defensa
CNI
CCN
CCN-CERT