Los investigadores de seguridad cibernética están llamando la atención sobre una falla de día cero en Microsoft Office que podría abusarse para lograr la ejecución de código arbitrario en los sistemas Windows afectados. La vulnerabilidad salió a la luz después de que un equipo de investigación de ciberseguridad independiente conocido como nao_sec descubriera un documento de Word («05-2022-0438.doc«) que se cargó en VirusTotal desde una dirección IP en Bielorrusia. Microsoft ahora lo está rastreando como CVE-2022-30190.
Impacto de la vulnerabilidad
Existe una vulnerabilidad de ejecución remota de código cuando se llama a MSDT mediante el protocolo URL desde una aplicación de llamada como Word. Un atacante que aproveche con éxito esta vulnerabilidad puede ejecutar código arbitrario con los privilegios de la aplicación que realiza la llamada. Luego, el atacante puede instalar programas, ver, cambiar o eliminar datos, o crear nuevas cuentas en el contexto permitido por los derechos del usuario.
Según los investigadores esta vulnerabilidad usa el enlace externo de Word para cargar el HTML y luego usa el esquema ‘ms-msdt’ para ejecutar el código de PowerShell. El maldoc aprovecha la función de plantilla remota de Word para obtener un archivo HTML de un servidor. MSDT es la abreviatura de Microsoft Support Diagnostics Tool, una utilidad que se usa para solucionar problemas y recopilar datos de diagnóstico para que los profesionales de soporte los analicen para resolver un problema.
Productos afectados
El Microsoft Defender para Endpoint actualmente no detecta a la vulnerabilidad y de acuerdo a los expertos , el exploit funciona en las variantes anteriores de Office 2013 y 2016, la versión de Office 2021 se ve afectada por esta vulnerabilidad. Adicionalmente se espera que otras versiones también sean vulnerables.
Workaround
Según Redmond, los administradores y usuarios pueden bloquear los ataques que explotan CVE-2022-30190 al deshabilitar el protocolo URL de MSDT, que los actores maliciosos usan para iniciar solucionadores de problemas y ejecutar código en sistemas vulnerables. Para deshabilitar el protocolo URL de MSDT en un dispositivo Windows, se debe realizar el siguiente procedimiento:
- Ejecutar command prompt como administrador.
- Para hacer una copia de seguridad de la clave de registro, ejecutar el comando «reg export HKEY_CLASSES_ROOT\ms-msdt ms-msdt.reg«.
- Ejecutar el comando «reg delete HKEY_CLASSES_ROOT\ms-msdt /f«.
Después de que Microsoft publique un parche acerca del CVE-2022-30190, se puede deshacer de la solución alternativa iniciando un commad prompt elevado y ejecutando el comando reg import ms-msdt.reg (nombre de archivo es el nombre de la copia de seguridad del registro creada al deshabilitar el protocolo).
Microsoft Defender
Microsoft Defender Antivirus 1.367.719.0 o posterior ahora también viene con detecciones para una posible explotación de vulnerabilidades bajo las siguientes firmas:
- Trojan:Win32/Mesdetty.A
- Trojan:Win32/Mesdetty.B
- Behavior:Win32/MesdettyLaunch.A
- Behavior:Win32/MesdettyLaunch.B
- Behavior:Win32/MesdettyLaunch.C
Indicadores de compromiso (IOCs)
- 4a24048f81afbe9fb62e7a6a49adbd1faf41f266b5f9feecdceb567aec096784
- 8e986c906d0c6213f80d0224833913fa14bc4c15c047766a62f6329bfc0639bd
- fe300467c2714f4962d814a34f8ee631a51e8255b9c07106d44c6a1f1eda7a45
- 710370f6142d945e142890eb427a368bfc6c5fe13a963f952fb884c38ef06bfa
- d61d70a4d4c417560652542e54486beb37edce014e34a94b8fd0020796ff1ef7
- hxxps[://]www[.]xmlformats[.]com/office/word/2022/wordprocessingDrawing/RDF842l[.]html
- hxxps[://]www[.]sputnikradio[.]net/radio/news/3134[.]html
- hxxps[://]exchange[.]oufca[.]com[.]au/owa/auth/15[.]1[.]2375/themes/p3azx[.]html
Recomendaciones
- Al momento Microsoft no ha lanzado parches para cubrir esta vulnerabilidad, se está a la espera que de Microsoft lance los parches.
- Existe una mitigación temporal, la cual puede ser aplicada dependiendo la situación de cada cliente, para mas detalles sobre el workaround dirigirse al sitio web de Microsoft.
Para mas información
- https://thehackernews.com/2022/05/watch-out-researchers-spot-new.html
- https://twitter.com/buffaloverflow/status/1530887036550500352
- https://www.securityweek.com/document-exploiting-new-microsoft-office-zero-day-seen-wild
- https://www.bleepingcomputer.com/news/microsoft/microsoft-shares-mitigation-for-office-zero-day-exploited-in-attacks/
- https://msrc-blog.microsoft.com/2022/05/30/guidance-for-cve-2022-30190-microsoft-support-diagnostic-tool-vulnerability/
Actualizado el 01-06-2022