Los piratas informáticos vinculados a China están explotando una nueva vulnerabilidad en Microsoft Office

La vulnerabilidad, denominada ‘Follina’, comenzó a ser ampliamente reportada hace solo unos días.

Una vulnerabilidad recién descubierta en Microsoft Office ya está siendo explotada por piratas informáticos vinculados al gobierno chino, según una investigación de análisis de amenazas de la firma de seguridad Proofpoint.

Los detalles compartidos por Proofpoint en Twitter sugieren que un grupo de piratas informáticos denominado TA413 estaba utilizando la vulnerabilidad (llamada «Follina» por los investigadores) en documentos de Word maliciosos supuestamente enviados desde la Administración Central Tibetana, el gobierno tibetano en el exilio con sede en Dharamsala, India. El grupo TA413 es un APT, o actor de «amenaza persistente avanzada», que se cree que está vinculado al gobierno chino y se ha observado anteriormente que se dirige a la comunidad de exiliados tibetanos .

En general, los piratas informáticos chinos tienen un historial de uso de fallas de seguridad de software para atacar a los tibetanos. Un informe publicado por Citizen Lab en 2019 documentó ataques extensivos a figuras políticas tibetanas con software espía, incluso a través de vulnerabilidades del navegador de Android y enlaces maliciosos enviados a través de WhatsApp. Las extensiones del navegador también se han utilizado como armas para este propósito, con un análisis previo de Proofpoint que descubrió el uso de un complemento malicioso de Firefox para espiar a los activistas tibetanos.

La vulnerabilidad de Microsoft Word comenzó a recibir atención generalizada por primera vez el 27 de mayo, cuando un grupo de investigación de seguridad conocido como Nao Sec acudió a Twitter para discutir una muestra enviada al servicio de escaneo de malware en línea VirusTotal. El tweet de Nao Sec marcó que el código malicioso se entregó a través de documentos de Microsoft Word, que finalmente se usaron para ejecutar comandos a través de PowerShell, una poderosa herramienta de administración de sistemas para Windows.

En una entrada de blog publicada el 29 de mayo, el investigador Kevin Beaumont compartió más detalles de la vulnerabilidad. Según el análisis de Beaumont, la vulnerabilidad permitía que un documento de Word creado con fines malintencionados cargara archivos HTML desde un servidor web remoto y luego ejecutara comandos de PowerShell secuestrando la Herramienta de diagnóstico de soporte de Microsoft (MSDT), un programa que generalmente recopila información sobre fallas y otros problemas con las aplicaciones de Microsoft.

Microsoft ahora ha reconocido la vulnerabilidad , oficialmente titulada CVE-2022-30190, aunque hay informes de que se descartaron intentos anteriores de notificar a Microsoft sobre el mismo error.

Según el propio blog de respuesta de seguridad de Microsoft , un atacante capaz de explotar la vulnerabilidad podría instalar programas, acceder, modificar o eliminar datos e incluso crear nuevas cuentas de usuario en un sistema comprometido. Hasta el momento, Microsoft no ha emitido un parche oficial, pero ha ofrecido medidas de mitigación para la vulnerabilidad que implican desactivar manualmente la función de carga de URL de la herramienta MSDT.

Debido al uso generalizado de Microsoft Office y productos relacionados, la superficie de ataque potencial para la vulnerabilidad es grande. El análisis actual sugiere que Follina afecta a Office 2013, 2016, 2019, 2021, Office ProPlus y Office 365; y, a partir del martes, la Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. instó a los administradores de sistemas a implementar la guía de Microsoft para mitigar la explotación.

Fuente: theverge

 

Artículos Relacionados

DEJA UN COMENTARIO:

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.