vulnerabilidad crítica de día cero de Windows conocida como Follina

 Windows

Microsoft ha publicado actualizaciones de seguridad con las actualizaciones acumulativas de Windows de junio de 2022 para abordar una vulnerabilidad crítica de día cero de Windows conocida como Follina y explotada activamente en ataques en curso.

"Microsoft recomienda encarecidamente que los clientes instalen las actualizaciones para estar completamente protegidos contra la vulnerabilidad. Los clientes cuyos sistemas están configurados para recibir actualizaciones automáticas no necesitan tomar ninguna otra medida", dijo Microsoft en una actualización del aviso original.

"Microsoft recomienda instalar las actualizaciones lo antes posible", instó la compañía a los clientes en una publicación en el Centro de respuesta de seguridad de Microsoft. 

Los atacantes que explotan con éxito este día cero pueden ejecutar código arbitrario con los privilegios de la aplicación que llama para instalar programas, ver, cambiar o eliminar datos, e incluso crear nuevas cuentas de Windows según lo permitan los derechos del usuario comprometido.

Como descubrió el investigador de seguridad nao_sec, los exploits de Follina permiten a los actores de amenazas ejecutar comandos maliciosos de PowerShell a través de MSDT en lo que Redmond describe como ataques de ejecución de código arbitrario (ACE) al abrir o previsualizar documentos de Word.

Si bien la aplicación de las actualizaciones actuales no impide que Microsoft Office cargue automáticamente controladores de URI de protocolo de Windows sin interacción del usuario, bloquea la inyección de PowerShell y deshabilita este vector de ataque.

En la explotación silvestre

La vulnerabilidad de seguridad de Follina ha sido explotada en ataques durante un tiempo por actores de amenazas de ciberdelincuencia respaldados por el estado y con varios objetivos finales.

Como revelaron los investigadores de seguridad de Proofpoint, el grupo chino de piratería TA413 explotó el error en ataques dirigidos a la diáspora tibetana. En contraste, un segundo grupo de amenazas alineado con el estado lo utilizó en ataques de phishing contra agencias gubernamentales de Estados Unidos y la UE.

Follina ahora también está siendo abusada por el afiliado TA570 Qbot en campañas de phishing en curso para infectar a los destinatarios con malware Qbot.

Sin embargo, los primeros ataques dirigidos a este día cero han comenzado a mediados de abril, con amenazas de sextorsión e invitaciones a entrevistas de Sputnik Radio como cebos.A la luz de que Microsoft informó de la explotación activa del error en la naturaleza, CISA también ha instado a los administradores y usuarios de Windows a deshabilitar el protocolo MSDT abusado en estos ataques.

CrazymanArmy de Shadow Chaser Group, el investigador de seguridad que informó el día cero al equipo de seguridad de Microsoft en abril, dijo que la compañía rechazó su presentación inicial como no un "problema relacionado con la seguridad".

Sin embargo, según el investigador, los ingenieros de Redmond cerraron más tarde el informe de envío de errores con un impacto en la ejecución remota de código.

Fuente: BleepingComputer

Comentarios

Entradas populares de este blog

Presuntos narcotraficantes liberados por un ransomware

Metasploit y Windows 10: Creando un payload indetectable (Evadiendo software antivirus)

Diferencias entre mapa de calor, mapa de riesgos y matriz de riesgos