Los investigadores advirtieron el fin de semana pasado que una falla en la herramienta de diagnóstico de soporte de Microsoft podría explotarse utilizando documentos de Word maliciosos para tomar el control de forma remota de los dispositivos de destino.
Microsoft publicó una guía el lunes, incluidas las medidas de defensa temporales.
El martes, la Agencia de Seguridad de Infraestructura y Ciberseguridad de Estados Unidos había advertido que “un atacante remoto no autenticado podría explotar esta vulnerabilidad”, conocida como Follina, “para tomar el control de un sistema afectado”.
Pero Microsoft no dijo cuándo o si llegará un parche para la vulnerabilidad, a pesar de que la compañía reconoció que los atacantes estaban explotando activamente la falla.
Microsoft trata de controlar hacks de Follina
Y la compañía aún no hizo comentarios sobre la posibilidad de un parche cuando WIRED le preguntó.
La vulnerabilidad de Follina en una herramienta de soporte de Windows puede explotarse fácilmente mediante un documento de Word especialmente diseñado.
El señuelo está equipado con una plantilla remota que puede recuperar un archivo HTML malicioso y, en última instancia, permitir que un atacante ejecute comandos de Powershell dentro de Windows.
Los investigadores señalan que describirían el error como una vulnerabilidad de "día cero" o previamente desconocida, pero Microsoft no lo ha clasificado como tal.
“Después de que creció el conocimiento público del exploit, comenzamos a ver una respuesta inmediata de una variedad de atacantes que comenzaron a usarlo”, dice Tom Hegel, investigador principal de amenazas en la firma de seguridad SentinelOne.
Agrega que, si bien hasta ahora se ha observado a los atacantes principalmente explotando la falla a través de documentos maliciosos, los investigadores también han descubierto otros métodos, incluida la manipulación de contenido HTML en el tráfico de la red.
“Si bien el enfoque de los documentos maliciosos es muy preocupante, los métodos menos documentados por los cuales se puede activar el exploit son problemáticos hasta que se parchean”, dice Hegel.
“Esperaría que los actores de amenazas oportunistas y dirigidos utilicen esta vulnerabilidad de varias maneras cuando la opción esté disponible; es demasiado fácil”.
La vulnerabilidad está presente en todas las versiones compatibles de Windows y se puede explotar a través de Microsoft Office 365, Office 2013 a 2019, Office 2021 y Office ProPlus.
La principal mitigación propuesta por Microsoft implica deshabilitar un protocolo específico dentro de la Herramienta de diagnóstico de soporte y usar Microsoft Defender Antivirus para monitorear y bloquear la explotación.
Pero los que responden a incidentes dicen que se necesitan más acciones, dado lo fácil que es explotar la vulnerabilidad y la cantidad de actividad maliciosa que se detecta.
"Estamos viendo una variedad de actores de APT que incorporan esta técnica en cadenas de infección más largas que utilizan la vulnerabilidad de Follina", dice Michael Raggi, investigador de amenazas del personal de la firma de seguridad Proofpoint que se enfoca en piratas informáticos respaldados por el gobierno chino.
"Por ejemplo, el 30 de mayo de 2022, observamos que el actor chino APT TA413 envió una URL maliciosa en un correo electrónico que se hizo pasar por la Administración Central Tibetana".
"Diferentes actores están ubicando los archivos relacionados con Follina en diferentes etapas de su cadena de infección, según su conjunto de herramientas preexistente y las tácticas implementadas".
Los investigadores también han visto documentos maliciosos que explotan a Follina con objetivos en Rusia, India, Filipinas, Bielorrusia y Nepal.
Un investigador universitario notó la falla por primera vez en agosto de 2020, pero se informó por primera vez a Microsoft el 21 de abril.
Los investigadores también notaron que los hacks de Follina son particularmente útiles para los atacantes porque pueden provenir de documentos maliciosos sin depender de Ma
Síguenos en Facebook y entérate de las noticias trend de la semana
No hay comentarios.:
Publicar un comentario