Una vulnerabilidad recién descubierta en Microsoft Office, ha encendido las alertas en torno a esta popular colección de aplicaciones.
Esta brecha de seguridad, masivamente reportada durante los últimos días, ha estado siendo explotada por piratas informáticos vinculados al gobierno chino, según una investigación de análisis de amenazas de la firma de seguridad Proofpoint.
Ataques informáticos de China al Tíbet a través de Office
Los detalles compartidos por Proofpoint en su informe, sugieren que un grupo de piratas informáticos denominado TA413 estaba utilizando la vulnerabilidad antes mencionada, llamada «Follina» por los investigadores, en documentos de Word maliciosos supuestamente enviados desde la Administración Central Tibetana, el gobierno tibetano en el exilio con sede en Dharamsala, India. El grupo TA413 es un APT, o actor de «amenaza persistente avanzada», que se cree que está vinculado al gobierno chino y se ha observado anteriormente que se dirige a la comunidad de exiliados tibetanos .
Debido al uso masivo de Microsoft Office y sus productos relacionados, la superficie de ataque potencial para la vulnerabilidad es grande. El análisis actual sugiere que Follina afecta a Office 2013, 2016, 2019, 2021, Office ProPlus y Office 365.
La vulnerabilidad de Microsoft Word se hizo conocida tras los reportes masivamente registrados el pasado 27 de mayo, cuando un grupo de investigación de seguridad conocido como Nao Sec utilizó Twitter para discutir una muestra enviada al servicio de escaneo de malware en línea VirusTotal. El tweet de Nao Sec señala que el código malicioso se distribuyó a través de documentos de Microsoft Word, que finalmente se usaron para ejecutar comandos a través de PowerShell, una poderosa herramienta de administración de sistemas para Windows.
Días después, el investigador Kevin Beaumont compartió más detalles de la vulnerabilidad. De acuerdo con su análisis, la vulnerabilidad permitía que un documento de Word creado con fines malintencionados cargara archivos HTML desde un servidor web remoto y luego ejecutara comandos de PowerShell secuestrando la Herramienta de diagnóstico de soporte de Microsoft (MSDT), un programa que usualmente recopila información sobre fallas y otros problemas con las aplicaciones de Microsoft.
Microsoft reconoció la vulnerabilidad , oficialmente titulada CVE-2022-30190. Por ahora, no ha emitido un parche oficial, pero ha ofrecido medidas de mitigación para la vulnerabilidad, que implican desactivar manualmente la función de carga de URL de la herramienta MSDT.
Fuente info
Autor: Nicolás Verdejo