Investigadores de ciberseguridad alertan sobre un fallo de día cero en Microsoft Office que podría ser abusado para lograr la ejecución de código arbitrario en los sistemas Windows afectados.
De acuerdo con los expertos, esta vulnerabilidad salió a la luz después de que un equipo de investigación de ciberseguridad independiente conocido como nao_sec descubriera un documento de Word ("05-2022-0438.doc") que se subió a VirusTotal desde una dirección IP de Bielorrusia.
Según unos tweets publicados por los investigadores, “maldoc”, "Utiliza el enlace externo de Word para cargar el HTML y luego utiliza el esquema 'ms-msdt' para ejecutar código PowerShell".
Según el investigador de seguridad Kevin Beaumont, que bautizó el fallo como "Follina", el maldoc aprovecha la función de plantilla remota de Word para obtener un archivo HTML de un servidor, que luego hace uso del esquema URI "ms-msdt://" para ejecutar la carga útil maliciosa.
El fallo se llama así porque la muestra maliciosa hace referencia a 0438, que es el código de área de Follina, un municipio de la ciudad italiana de Treviso.
MSDT es la abreviatura de Microsoft Support Diagnostics Tool, una utilidad que se utiliza para solucionar problemas y recopilar datos de diagnóstico para que los profesionales del soporte técnico los analicen y resuelvan un problema.
"Aquí pasan muchas cosas, pero el primer problema es que Microsoft Word ejecuta el código a través de msdt (una herramienta de soporte) aunque las macros estén desactivadas", explicó Beaumont.
"La Vista Protegida sí entra en acción, aunque si se cambia el documento a formato RTF, se ejecuta sin ni siquiera abrir el documento (a través de la pestaña de vista previa en el Explorador) y mucho menos la Vista Protegida", añadió el investigador.
En un análisis independiente, la empresa de ciberseguridad Huntress Labs detalló el flujo del ataque, señalando que el archivo HTML ("RDF842l.html") que activa el exploit se originó en un dominio ahora inalcanzable llamado "xmlformats[.]com".
"Un archivo de formato de texto enriquecido (.RTF) podría desencadenar la invocación de este exploit con sólo el panel de vista previa dentro del Explorador de Windows", dijo John Hammond de Huntress Labs. "Al igual que la CVE-2021-40444, esto amplía la gravedad de esta amenaza, ya que no se trata de un exploit con un solo clic, sino potencialmente con un activador de "cero clic"".
Se dice que varias versiones de Microsoft Office, incluyendo Office, Office 2016 y Office 2021, están afectadas, aunque se espera que otras versiones también sean vulnerables.
Incluso, Richard Warren, de NCC Group, consiguió demostrar un exploit en Office Professional Pro con los parches de abril de 2022 ejecutado en una máquina Windows 11 actualizada con el panel de vista previa activado.
"Microsoft va a tener que parchear todas las ofertas de productos y los proveedores de seguridad necesitarán una sólida detección y bloqueo", dijo Beaumont.
Lo riesgoso de estos llamados “día cero” es que hay manera de solventar el fallo, hasta que se crea un parche y esto último puede demorar un tiempo y durante ese proceso de creación los atacantes realizan “su trabajo” lo más rápido que pueden hasta que aparece el parche.