Conclusiones clave
- Se ha observado en la naturaleza un nuevo ataque de clic cero de Windows que puede comprometer las máquinas sin ninguna acción del usuario.
- Microsoft reconoció el problema y presentó los pasos para solucionarlo, pero el error aún no tiene un parche oficial.
- Los investigadores de seguridad ven que el error se está explotando activamente y esperan más ataques en un futuro cercano.
Los piratas informáticos han encontrado una manera de entrar en una computadora con Windows simplemente enviando un archivo malicioso especialmente diseñado.
Apodado Follina, el error es bastante grave ya que podría permitir a los piratas informáticos tomar el control total de cualquier sistema de Windows simplemente enviando un documento de Microsoft Office modificado. En algunos casos, las personas ni siquiera tienen que abrir el archivo, ya que la vista previa del archivo de Windows es suficiente para activar los bits desagradables. En particular, Microsoft ha reconocido el error, pero aún no ha publicado una solución oficial para anularlo.
"Esta vulnerabilidad aún debe estar en la parte superior de la lista de cosas por las que preocuparse", escribió el Dr. Johannes Ullrich, Decano de Investigación del Instituto de Tecnología SANS, en el boletín semanal SANS. "Si bien los proveedores de antimalware están actualizando rápidamente las firmas, son inadecuados para proteger contra la amplia gama de vulnerabilidades que pueden aprovechar esta vulnerabilidad".
Vista previa para compromiso
La amenaza fue detectada por primera vez por investigadores de seguridad japoneses a fines de mayo, cortesía de un documento de Word malicioso.
El investigador de seguridad Kevin Beaumont reveló la vulnerabilidad y descubrió que el archivo.doc cargaba un código HTML falso, que luego llama a la herramienta de diagnóstico de Microsoft para ejecutar un código de PowerShell, que a su vez ejecuta la carga útil maliciosa.
Windows utiliza la herramienta de diagnóstico de Microsoft (MSDT) para recopilar y enviar información de diagnóstico cuando algo falla en el sistema operativo. Las aplicaciones llaman a la herramienta utilizando el protocolo especial de URL de MSDT (ms-msdt://), que Follina pretende explotar.
"Este exploit es una montaña de exploits apilados uno encima del otro. Sin embargo, lamentablemente es fácil de recrear y no puede ser detectado por un antivirus", escribieron los defensores de la seguridad en Twitter.
En una conversación por correo electrónico con Lifewire, Nikolas Cemerikic, ingeniero de ciberseguridad de Immersive Labs, explicó que Follina es única. No toma la ruta habitual de hacer un mal uso de las macros de Office, por lo que incluso puede causar estragos entre las personas que tienen macros desactivadas.
"Durante muchos años, el phishing por correo electrónico, combinado con documentos de Word maliciosos, ha sido la forma más eficaz de obtener acceso al sistema de un usuario", señaló Cemerikic. "El riesgo ahora aumenta con el ataque de Follina, ya que la víctima solo necesita abrir un documento o, en algunos casos, ver una vista previa del documento a través del panel de vista previa de Windows, al tiempo que elimina la necesidad de aprobar las advertencias de seguridad".
Microsoft se apresuró a implementar algunos pasos de remediación para mitigar los riesgos planteados por Follina. "Las mitigaciones que están disponibles son soluciones alternativas complicadas de las que la industria no ha tenido tiempo de estudiar el impacto", escribió John Hammond, investigador principal de seguridad en Huntress, en el blog de inmersión profunda de la compañía sobre el error. "Implican cambiar la configuración en el Registro de Windows, lo cual es un asunto serio porque una entrada incorrecta en el Registro podría bloquear su máquina".
Esta vulnerabilidad aún debe estar en la parte superior de la lista de cosas por las que preocuparse.
Si bien Microsoft no ha lanzado un parche oficial para solucionar el problema, hay uno no oficial del proyecto 0patch.
Hablando sobre la corrección, Mitja Kolsek, cofundadora del proyecto 0patch, escribió que si bien sería simple desactivar la herramienta de diagnóstico de Microsoft por completo o codificar los pasos de corrección de Microsoft en un parche, el proyecto buscaba un enfoque diferente ya que ambos afectarían negativamente el rendimiento de la herramienta de diagnóstico.
Recién comienza
Los proveedores de ciberseguridad ya han comenzado a ver que la falla se está explotando activamente contra algunos objetivos de alto perfil en los EE. UU. y Europa.
Aunque todos los exploits actuales aparentemente usan documentos de Office, se puede abusar de Follina a través de otros vectores de ataque, explicó Cemerikic.
Al explicar por qué creía que Follina no desaparecerá pronto, Cemerikic dijo que, como ocurre con cualquier explotación o vulnerabilidad importante, los hackers finalmente comienzan a desarrollar y lanzar herramientas para ayudar en los esfuerzos de explotación. Básicamente, esto convierte estos exploits bastante complejos en ataques de apuntar y hacer clic.
"Los atacantes ya no necesitan entender cómo funciona el ataque o encadenar una serie de vulnerabilidades, todo lo que necesitan hacer es hacer clic en 'ejecutar' en una herramienta", dijo Cemerikic.
Él argumentó que esto es exactamente lo que la comunidad de seguridad cibernética ha presenciado durante la semana pasada, con un exploit muy serio puesto en manos de atacantes menos capaces o sin educación y script kiddies.
"A medida que pasa el tiempo, cuanto más disponibles estén estas herramientas, más se utilizará Follina como método de entrega de malware para comprometer las máquinas de destino", advirtió Cemerikic, instando a las personas a parchear sus máquinas Windows sin demora.
