Follina, la nueva vulnerabilidad de día cero que afecta a de MS Word y permite ejecutar código de forma remota

AS-053-2022

Fecha: 30/May/2022

Resumen:

Investigadores de seguridad determinaron que están circulando por Internet pruebas de conceptos y exploits dirigidos que aprovechan una vulnerabilidad de día cero, presente en Microsoft Word, y que al momento el fabricante no ha reconocido el fallo ni ha publicado un parche.

La vulnerabilidad, denominada como "Follina", permite que un atacante ejecute código de forma remota en el computador de la víctima mediante una incrustación de código malicioso en un archivo de Word o un RTF. Este código hará uso del proceso MS-MSDT para realizar una llamada al servidor del atacante, y ejecutar un payload mediante powershell.

Las pruebas de concepto indican que las versiones afectadas al momento son Office 2013, 2016, y 2019 con las actualizaciones de mayo. Al momento no se conoce un parche específico para mitigar este fallo; sin embargo, como medida de prevención se sugiere eliminar el registro de ms-msdt (https://gist.github.com/wdormann/031962b9d388c90a518d2551be58ead7)

Es importante evitar la descarga de archivos de origen desconocido para protegernos de posibles ataques externos.

Referencias:

https://doublepulsar.com/follina-a-microsoft-office-code-execution-vulnerability-1a47fce5629e

https://twitter.com/wdormann/status/1531250993127739392

https://gist.github.com/wdormann/031962b9d388c90a518d2551be58ead7