Los piratas informáticos vinculados a China están explotando una nueva vulnerabilidad en Microsoft Office

Una vulnerabilidad recién descubierta en Microsoft Office ya está siendo explotada por piratas informáticos vinculados al gobierno chino, según investigación de análisis de amenazas de la empresa de seguridad Proofpoint.

Los detalles compartidos por Proofpoint en Twitter sugieren que un grupo de piratería llamado TA413 estaba usando la vulnerabilidad (llamada «Follina» por los investigadores) en documentos de Word maliciosos supuestamente enviados desde la Administración Central Tibetana, el gobierno en el exilio con sede en Dharamsala, India. El grupo TA413 es un APT, o actor de «amenaza persistente avanzada», que se cree que está vinculado al gobierno chino y se ha observado anteriormente que ataca a la comunidad de exiliados tibetanos .

En general, los piratas informáticos chinos tienen un historial de uso de fallas de seguridad de software para atacar a los tibetanos. Un informe publicado por Citizen Lab en 2019 documentó una amplia focalización de figuras políticas tibetanas con spyware, incluso a través de exploits de navegador de Android y enlaces maliciosos enviados a través de WhatsApp. Las extensiones de navegador también han sido armadas para este propósito, con un análisis previo de Proofpoint que descubrió el uso

de un complemento malicioso de Firefox para espiar a los activistas tibetanos.

La vulnerabilidad de Microsoft Word comenzó a recibir atención generalizada el 27 de mayo, cuando un grupo de investigación de seguridad conocido como Nao Sec recurrió a Twitter para discuta una muestra enviada al servicio de escaneo de malware en línea VirusTotal. El tuit de Nao Sec señaló que el código malicioso se entregó a través de documentos de Microsoft Word, que finalmente se usaron para ejecutar comandos a través de PowerShell, una poderosa herramienta de administración de sistemas para Windows.

En una

publicación de blog publicada el 29 de mayo, el investigador Kevin Beaumont compartió más detalles de la vulnerabilidad. Según el análisis de Beaumont, la vulnerabilidad permitía que un documento de Word creado con fines malintencionados cargara archivos HTML desde un servidor web remoto y luego ejecutara comandos de PowerShell secuestrando la Herramienta de diagnóstico de soporte de Microsoft (MSDT), un programa que generalmente recopila información sobre bloqueos y otros problemas con las aplicaciones de Microsoft.

Microsoft ha reconocido la vulnerabilidad, titulado oficialmente CVE-2022-30190, aunque hay informes que intentos anteriores de notificar a Microsoft de la mismo error fueron descartados.

Según En el blog de respuesta de seguridad de Microsoft, un atacante capaz de aprovechar la vulnerabilidad podría instalar programas, acceder, modificar o eliminar datos, e incluso crear nuevas cuentas de usuario en un sistema comprometido. Hasta el momento, Microsoft no ha emitido un parche oficial, pero ofreció medidas de mitigación para la vulnerabilidad que implica la desactivación manual de la Función de carga de URL de la herramienta MSDT.
Debido al uso generalizado de Microsoft Office y productos relacionados, la superficie de ataque potencial para la vulnerabilidad es grande. El análisis actual sugiere que Follina afecta a Office 2013, 2016, 2019, 2021, Office ProPlus y Office 365; y, a partir del martes, la Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. estaba instando a los administradores de sistemas a implementar la guía de Microsoft para mitigar la explotación. Lee mas

Deja un comentario

Tu dirección de correo electrónico no será publicada.