Una vulnerabilidad de Zero Day explotada in-the-wild en la herramienta de diagnóstico del soporte técnico de Microsoft que puede ser explotada a través de Microsoft Word

• La vulnerabilidad puede ser explotada sin ninguna interacción del usuario y a través de documentos de Microsoft Office, un vector favorito para los actores de amenazas por su popularidad
• Al explotar con éxito, el atacante puede instalar programas, ver, cambiar o borrar datos, o crear nuevas cuentas en el contexto permitido por los derechos del usuario
• Tenable recomienda no abrir archivos de fuentes desconocidas

Esta semana, Microsoft emitió la CVE-2022-30190 en relación con la vulnerabilidad de Zero Day identificada en la Herramienta de Diagnóstico de Soporte de Microsoft (MSDT) en Windows.

Esta vulnerabilidad es un fallo de ejecución remota de código, lo que significa que no se requiere ninguna interacción del usuario. Todo lo que tendría que hacer un usuario objetivo es seleccionar el documento malicioso, en muchos casos, un documento de Microsoft Word.

Al explotar con éxito esta vulnerabilidad el atacante puede ejecutar código arbitrario con los privilegios de la aplicación que llama. El atacante puede entonces instalar programas, ver, cambiar o borrar datos, o crear nuevas cuentas en el contexto permitido por los derechos del usuario.

Claire Tills, Ingeniera de investigación senior de Tenable explica: «Durante el fin de semana, los investigadores empezaron a hablar de una vulnerabilidad de ejecución remota de código de día cero que puede ser explotada a través de documentos de Microsoft Office, un vector favorito para los actores de amenazas.”

“El RCE parece haber sido explotado ya en abril, y recientemente ha salido a la luz pública después de que un investigador empezara a analizar una muestra maliciosa en VirusTotal. Durante el fin de semana, varios investigadores reprodujeron el problema y determinaron que se trata de un exploit de «cero clic», lo que significa que no se requiere la interacción del usuario. Dadas las similitudes entre CVE-2022-30190 y CVE-2021-40444, y que los investigadores especulan que otros manejadores de protocolo también pueden ser vulnerables, esperamos ver más desarrollos e intentos de explotación de este problema.” Agregó Claire.

Omar Alcala, Director de Ciberseguridad para Tenable America Latina agrega «Office es una aplicación muy utilizada en el mundo. La facilidad de ejecución de esta vulnerabilidad es un llamado de urgencia para que las empresas mexicanas tomen acción e implementen las medidas de contención recomendadas por Microsoft. También, evitar archivos RTF por el momento, ya que parece ser el solo seleccionar el archivo en el Explorador de Windows (sin abrirlo), detona la explotación de la vulnerabilidad»

Cómo protegerse de esta vulnerabilidad

Microsoft aún no ha publicado parches para la CVE-2022-30190 para las organizaciones. Sin embargo, sí ha publicado una solución e información de detección. Microsoft recomienda deshabilitar el protocolo de URL de MSDT, pero aún no está claro cuál es el impacto de esta deshabilitación.

Adicionalmente pueden encontrarse una lista de plugins para identificar los sistemas afectados en el website de Tenable.

Para los usuarios, Claire recomienda: “Dado que se trata de un exploit de cero clics, no hay mucho que los usuarios individuales puedan hacer, sin embargo, una buena dosis de escepticismo sirve de mucho. Los usuarios deben desconfiar siempre de los archivos adjuntos procedentes de fuentes no conocidas.»