Microsoft ha descubierto una nueva vulnerabilidad follina, se trata de archivo de MS Office que sirve como puerta de entrada a ciberataques a entornos corporativos e infraestructuras empresariales…
La vulnerabilidad follina (CVE-2022-30190) fue descubierta gracias a la constante exploración y actualización que realiza la herramienta Microsoft Support Diagnostic Tool a través de archivos de MS Office.
Descubrimiento de la nueva vulnerabilidad follina
Según investigadores, esta nueva vulnerabilidad fue detectada en los productos de Microsoft, y podría permitir a los atacantes llevar a cabo ataques de código arbitrario. El nombre oficial de la nueva vulnerabilidad es CVE-2022-30190, pero también fue nombrado como Follina. Y, el riesgo más grande de esta brecha, es que aún no existe un parche para dicho bug.
Además, hay algo peor, los ciberatacantes ya están explotando la vulnerabilidad follina, pero no todo está perdido, porque si bien, Microsoft está desarrollando una nueva actualización, aconsejamos a los usuarios y administradores con privilegios implementar soluciones de vulnerabilidades como el caso de TOPIA, la cual, permite robustecer los entornos empresariales.
¿Qué es la vulnerabilidad follina?
La vulnerabilidad CVE-2022-30190 forma parte de la herramienta Microsoft Windows Support Diagnostic Tool (MSDT), por lo tanto, sirve como entrada a través de documentos de office.
A simple vista, esta brecha no parece un problema, sin embargo, gracias a la necesidad de uso de la herramienta MSDT, que tiene la función de recopilar información de diagnóstico y enviarla a Microsoft cuando algo falla en Windows, la vulnerabilidad follina puede explotarse como un malware que pasa desapercibido.
De igual forma, la vulnerabilidad CVE-2022-30190 puede explotar en cualquier sistema operativo de Windows, en dispositivos de escritorio y servidores.
¿Cómo explotan los atacantes esta vulnerabilidad?
En primer lugar, los ciberatacantes crean un documento de MS Office e insertan un malware, para luego enviarlo a sus víctimas.
El procedimiento más común es a través de un correo electrónico, el cual lleva un archivo malicioso adjunto y disfrazado, que busca convencer al destinatario de descargar y abrir el archivo. El asunto de correo más común es: “Revisar urgentemente el contrato, vence hoy a las 12 am”.
Al ocurrir la explotación es exitosa, los ciberatacantes toman el control para instalar apps, modificar y eliminar datos y crear nuevas cuentas… En otras palabras, el atacante puede hacer todo lo que permita los privilegios del atacado en dicho entorno o infraestructura corporativa.
¿Cómo protegerse de la vulnerabilidad follina?
Como ya hemos advertido, Microsoft aún está desarrollando parches para la vulnerabilidad follina, no obstante, MS recomienda deshabilitar el protocolo URL en el MSDT.
Para lograr este paso, debes ejecutar comandos con derechos de administrador, para luego ejecutar el comando reg delete HKEY_CLASSES_ROOT\ms-msdt/f, luego de haber hecho una copia de seguridad del registro, ejecutando reg export HKEY_CLASSES_ROOT\ms-msdt Filename.
Así, lograrás restaurar rápidamente el registro con el comando reg import filename cuando esta solución ya no sea necesaria.
Finalmente, otra solución efectiva para protegerse de vulnerabilidades como la de follina, es a través de herramientas tecnológicas como Topia, la cual es capaz de:
- Identificar dispositivos conectados
- Escanear y analizar vulnerabilidades
- Hacer parches virtuales
- Hacer inventarios de aplicaciones
- Analizar, priorizar y actuar de vulnerabilidades y amenazas
- Recibir alertas y notificaciones
- Crear análisis de riesgos
- Crear informes en tiempo real
- Crear informes de estadísticas
- Hacer autenticación de dos factores
- Realizar integraciones de terceros
- Permitir un manejo fácil del panel de actividades
- Hacer registros de eventos
- Hacer seguimiento de actividades de empleados