Todavía no hay parche para un error de día cero de Microsoft explotado activamente


mturhanlar | Los investigadores de Getty Images advirtieron el fin de semana pasado que una falla en la herramienta de diagnóstico de soporte de Microsoft podría explotarse mediante el uso de documentos de Word maliciosos para tomar el control de forma remota de los dispositivos de destino. Microsoft publicó una guía el lunes, incluidas las medidas de mitigación temporales. Hasta el martes, la Agencia de Seguridad de Infraestructura y Ciberseguridad de Estados Unidos había advertido que «un atacante remoto no autenticado podría explotar esta vulnerabilidad», conocida como Follina, «para tomar el control de un sistema afectado». Pero Microsoft se negó a decir cuándo o si llegará un parche para la vulnerabilidad, aunque la compañía reconoció que los atacantes estaban explotando activamente la falla. Y la compañía aún no tenía comentarios sobre la posibilidad de un parche a pedido de WIRED. La vulnerabilidad de Follina en una herramienta de soporte de Windows se puede explotar fácilmente a través de un documento de Word especialmente diseñado. El señuelo viene equipado con una plantilla remota que puede obtener un archivo HTML malicioso y, en última instancia, permitir que un atacante ejecute comandos de Powershell en Windows. Los investigadores señalan que etiquetarían la falla como una vulnerabilidad de «día cero» o previamente desconocida, pero Microsoft no la ha clasificado como tal.
«A medida que aumentaba la conciencia pública sobre el exploit, vimos una respuesta inmediata de una variedad de atacantes que comenzaron a usarlo», dijo Tom Hegel, investigador principal de amenazas de la firma de seguridad SentinelOne. Agrega que si bien se ha observado principalmente a los atacantes que explotan la falla a través de documentos maliciosos, los investigadores también han descubierto otros métodos, incluida la manipulación del contenido HTML en el tráfico de la red. “Si bien el enfoque de los documentos maliciosos es motivo de gran preocupación, los métodos menos documentados mediante los cuales se puede desencadenar el exploit son problemáticos hasta que se corrigen”, dice Hegel. «Esperaría que los actores de amenazas oportunistas y dirigidos exploten esta vulnerabilidad de varias maneras cuando la opción esté disponible; es demasiado fácil». La vulnerabilidad está presente en todas las versiones compatibles de Windows y se puede encontrar en Microsoft Office 365, Office Desde 2013 hasta 2019, se pueden usar Office 2021 y Office ProPlus. La principal mitigación que sugiere Microsoft implica deshabilitar un protocolo específico en la Herramienta de diagnóstico de soporte y usar Microsoft Defender Antivirus para monitorear y bloquear la explotación. Pero los respondedores de incidentes dicen que se necesitan más acciones dada la facilidad de explotación de la vulnerabilidad y la cantidad de actividad maliciosa que se detecta. «Estamos viendo una variedad de actores de APT que incorporan esta técnica en cadenas de infección más largas que explotan la vulnerabilidad de Follina», dice Michael Raggi, investigador de amenazas de la firma de seguridad Proofpoint, que se enfoca en los piratas informáticos respaldados por el gobierno chino el 30 de mayo de 2022. observamos al actor chino APT TA413 enviando una URL maliciosa en un correo electrónico haciéndose pasar por la Administración Central Tibetana. Diferentes actores insertan los archivos relacionados con Follina en diferentes etapas de su cadena de infección, según el conjunto de herramientas que ya tienen y las tácticas empleadas”. visto documentos perjudiciales explotar Follina con destinos en Rusia, India, Filipinas, Bielorrusia y Nepal. Un estudiante universitario notó el error por primera vez en agosto de 2020, pero se informó por primera vez a Microsoft el 21 de abril. Los investigadores también encontraron que los hacks de Follina son particularmente útiles para los atacantes porque pueden provenir de documentos maliciosos sin tener que depender de macros, la función de documentos de Office de la que tanto se abusa y que Microsoft ha trabajado para contener. «Proofpoint ha identificado una variedad de actores que han integrado la vulnerabilidad de Follina en las campañas de phishing», dijo Sherrod DeGrippo, vicepresidente de investigación de amenazas de Proofpoint. Con toda esta explotación en el mundo real, la pregunta es si la guía que Microsoft ha publicado hasta ahora es razonable y proporcional al riesgo: «Los equipos de seguridad podrían tomar el enfoque indiferente de Microsoft como una señal de que esta es ‘otra vulnerabilidad’ que están enfrentando». with Security no lo es”, dice Jake Williams, director de inteligencia de amenazas cibernéticas en la firma de seguridad Scythe. “No está claro por qué Microsoft continúa minimizando esta vulnerabilidad en particular mientras se explota activamente en la naturaleza”. Esta historia apareció originalmente en cable. com

Deja una respuesta

Tu dirección de correo electrónico no será publicada.