Microsoft no dirá si parcheará una vulnerabilidad crítica de Windows bajo Exploit


Getty Images A medida que los grupos de piratas informáticos continúan trabajando para atacar un antiguo sistema de día cero de Windows que hace que sea inusualmente fácil ejecutar código malicioso en computadoras específicas, Microsoft ha mantenido un perfil bajo y se niega a decir si tiene planes para un parche. A finales de la semana pasada, la empresa de seguridad Proofpoint dijo que los piratas informáticos con vínculos con grupos de estados-nación conocidos estaban explotando la vulnerabilidad de ejecución remota de código llamada Follina. Según Proofpoint, los ataques se entregaron en mensajes de spam maliciosos enviados a menos de 10 clientes de Proofpoint en gobiernos europeos y locales de EE. UU.

Contenidos

Los productos de Microsoft son una «oportunidad específica»

En un correo electrónico el lunes, la compañía de seguridad agregó más color y escribió:

  • Proofpoint Threat Research ha estado monitoreando activamente el uso de la vulnerabilidad de Follina y descubrimos otro caso interesante el viernes. Follina usó un correo electrónico con un archivo RTF adjunto para finalmente ejecutar un script de PowerShell. Este script verifica la virtualización, roba información de navegadores locales, clientes de correo electrónico y servicios de archivos, realiza una verificación de la máquina y luego la comprime para Exfil a través de BitsAdmin. Aunque Proofpoint sospecha que esta campaña se originó con un actor alineado con el estado en función del amplio reconocimiento de Powershell y la estrecha concentración de objetivos, actualmente no lo atribuimos a un TA numerado.
  • Proofpoint ha observado la explotación de esta vulnerabilidad a través de aplicaciones de Microsoft. Seguimos entendiendo el alcance de esta vulnerabilidad, pero en este punto está claro que hay muchas formas de usarla en el conjunto de productos de Microsoft Office y, además, en las aplicaciones de Windows.
  • Microsoft ha lanzado «soluciones alternativas», pero no un parche completo. Los productos de Microsoft continúan siendo una oportunidad bien enfocada para los actores de amenazas, y eso no va a cambiar a corto plazo. Continuamos lanzando capacidades de detección y protección en los productos de Proofpoint a medida que aprendemos más para ayudar a nuestros clientes a proteger sus entornos.

La firma de seguridad Kaspersky, mientras tanto, también ha observado un aumento en las vulnerabilidades de Follina, y la mayoría afecta a los EE. UU., seguido de Brasil, México y Rusia.
Kaspersky «Anticipamos más intentos de explotar Follina para obtener acceso a los recursos corporativos, incluidos los ataques de ransomware y las filtraciones de datos», escribieron los investigadores de Kaspersky. CERT Ucrania también dijo que rastrea explotaciones en objetivos en ese país que usan el correo electrónico para enviar un archivo titulado «Cambios en los salarios con acumulaciones.docx» para explotar Follina.

El secreto de la popularidad de Follina: «Baja interacción RCE»

Una de las razones del gran interés es que Follina no requiere el mismo nivel de interacción con la víctima que los típicos ataques de documentos maliciosos. Por lo general, estos ataques requieren que el objetivo abra el documento y permita el uso de macros. Por el contrario, Follina no requiere que el objetivo abra el documento y no hay ninguna macro que permitir. La simple acción del documento que aparece en la ventana de vista previa incluso con la Vista protegida habilitada es suficiente para ejecutar scripts maliciosos. «Es más serio porque no importa si las macros están deshabilitadas y solo se puede acceder a ellas a través de Preview», escribió Jake Williams, director de inteligencia de amenazas cibernéticas de la firma de seguridad Scythe, en un chat de texto. «No es un clic cero como ‘Solo enviar causa el exploit’, pero el usuario no tiene que abrir el documento». Los investigadores que desarrollaron un módulo de explotación para el marco de piratería de Metasploit se refirieron a este comportamiento como ejecución remota de código de baja interacción. «Pude probar esto tanto en formato .docx como rtf», escribió uno de ellos. «Pude hacer que el archivo RTF se ejecutara con solo obtener una vista previa del documento en Explorer».

Una respuesta chapucera

El entusiasmo que los defensores y los actores de amenazas han mostrado por Follina contrasta con la reticencia de Microsoft. Microsoft tardó en responder a la vulnerabilidad desde el principio. Un artículo científico publicado en 2020 mostró cómo usar la herramienta de diagnóstico de soporte de Microsoft (MSDT) para obligar a una computadora a descargar y ejecutar un script malicioso. Luego, en abril, investigadores del Shadow Chaser Group dijo en Gorjeo que habían informado a Microsoft que una ejecución de spam malicioso en curso estaba haciendo precisamente eso. Aunque los investigadores incluyeron el archivo utilizado en la campaña, Microsoft desestimó el informe de la lógica defectuosa de que MSDT requería una contraseña para ejecutar cargas útiles. Finalmente, el pasado martes Microsoft declaró el comportamiento una vulnerabilidad con el rastreador CVE-2022-30190 y una gravedad de 7,8 sobre 10. La compañía no ha emitido un parche, sino instrucciones sobre cómo deshabilitar MSDT. Microsoft ha dicho muy poco desde entonces. La compañía se negó a comentar sobre sus planes el lunes. «En su mayor parte, los equipos de seguridad más pequeños toman el enfoque indiferente de Microsoft como una señal de que esta es ‘otra vulnerabilidad’, que ciertamente no lo es», dijo Williams. “No está claro por qué Microsoft continúa restando importancia a esta vulnerabilidad, que se está explotando activamente en la naturaleza. Ciertamente no ayuda a los equipos de seguridad”. Sin alertas proactivas de Microsoft, las organizaciones solo necesitan apoyarse en sí mismas para conocer los riesgos y las vulnerabilidades de esta vulnerabilidad, que es un buen momento para hacerlo.

Deja una respuesta

Tu dirección de correo electrónico no será publicada.