Una nueva vulnerabilidad de Microsoft Word de día cero podría dar a los piratas informáticos el control total de su computadora. Incluso si no abre un archivo infectado, se puede aprovechar la vulnerabilidad.
A pesar de que todavía estamos esperando una solución, Microsoft ya ha proporcionado una solución a esta vulnerabilidad, por lo que si usa MS Office con regularidad, debería comprobarlo.
Cuidado con la nueva vulnerabilidad de Microsoft Word
La vulnerabilidad de Microsoft Word, apodada Follina por uno de los investigadores que la investigó inicialmente, Kevin Beaumont, quien también publicó una publicación extensa al respecto, hasta ahora se ha atribuido a la herramienta MSDT. Se descubrió originalmente el 27 de mayo a través de un tweet de nao_sec, aunque aparentemente Microsoft se enteró por primera vez en abril. Aunque aún no se ha publicado una solución, la solución de Microsoft implica desactivar la Herramienta de diagnóstico de soporte de Microsoft (MSDT), que es la forma en que el exploit obtiene acceso a la computadora que está siendo atacada.
Se envió un maldoc interesante desde Bielorrusia. Utiliza el enlace externo de Word para cargar el HTML y luego utiliza el "ms-msdt" esquema para ejecutar código PowerShell.https://t.co/hTdAfHOUx3 pic.twitter.com/rVSb02ZTwt
– nao_sec (@nao_sec) 27 de mayo de 2022
La vulnerabilidad de Microsoft Word es una falla de ejecución remota de código en MS Word que afecta principalmente a archivos .rtf. La función Plantillas de MS Word le permite cargar y ejecutar código de fuentes externas, que Follina utiliza para obtener acceso a la computadora y luego ejecuta una serie de comandos que abren MSDT. En circunstancias normales, los usuarios de Windows pueden usar la Herramienta de diagnóstico de Microsoft para Windows (MSDT) para resolver varios problemas sin problemas. Desafortunadamente, debido a que esta herramienta también brinda acceso remoto a su computadora, ayuda al exploit a tomar el control de la misma.
El exploit puede funcionar incluso si no abre el archivo en el caso de archivos .rtf. Follina se puede iniciar siempre que lo vea en el Explorador de archivos. Una vez que el atacante compromete su computadora a través de MSDT, tiene carta blanca para hacer lo que quiera con ella. Pueden descargar software dañino, filtrar datos confidenciales y más.
Beaumont ha incluido varios ejemplos de Follina en el pasado, incluida la forma en que ya se ha utilizado y descubierto en varios archivos. La extorsión financiera es solo una de las muchas cosas para las que se utiliza este exploit. Por supuesto, no quieres esto en tu PC.
¿Qué hacer hasta que Microsoft publique un parche?
Hay algunas cosas que puede hacer para evitar la vulnerabilidad de Microsoft Word hasta que la empresa publique un parche para solucionarlo. La solución oficial, tal como están las cosas ahora, es la solución alternativa; no sabemos con certeza qué más vendrá después.
Para empezar, comprueba si tu versión de Office es una de las afectadas por la vulnerabilidad de Microsoft Word. El error se ha descubierto en Office 2013, 2016, 2019, 2021, Office ProPlus y Office 365 hasta el momento. No se sabe si las versiones anteriores de Microsoft Office están protegidas; por lo tanto, es importante tomar más precauciones para protegerse.
No es una idea terrible evitar el uso. doc, .docx y.rtf por el momento, si puede hacerlo. Considere migrar a servicios basados en la nube como Google Docs. Solo acepte y descargue archivos de fuentes 100% identificadas, lo cual es una buena regla general en general. Por cierto, puedes descubrir todo lo que necesitas saber sobre Microsoft Office 2021, visitando nuestro artículo.
Finalmente, siga las instrucciones de Microsoft para deshabilitar MSDT. Deberá abrir el símbolo del sistema y ejecutarlo como administrador, luego escribir algunas declaraciones. Si todo va bien, deberías estar a salvo de Follina. Sin embargo, tenga en cuenta que siempre se recomienda precaución.
A continuación te compartimos los pasos necesarios para deshabilitar el protocolo URL de MSDT, proporcionada por Microsoft:
La desactivación del protocolo URL de MSDT evita que los solucionadores de problemas se inicien como enlaces, incluidos enlaces en todo el sistema operativo. Aún se puede acceder a los solucionadores de problemas usando la aplicación Obtener ayuda y en la configuración del sistema como otros solucionadores de problemas adicionales. Siga estos pasos para desactivar:
- Correr Símbolo del sistema como Administrador.
- Para hacer una copia de seguridad de la clave de registro, ejecute el comando “reg export HKEY_CLASSES_ROOTms-msdt Nombre del archivo“
- Ejecute el comando “reg delete HKEY_CLASSES_ROOTms-msdt /f”.
Cómo deshacer la solución
Correr Símbolo del sistema como Administrador.
Para restaurar la clave de registro, ejecute el comando “reg import Nombre del archivo”
Microsoft no es la única víctima de los ataques cibernéticos, por ejemplo, los piratas informáticos intentan apuntar a los funcionarios europeos para obtener información sobre los refugiados ucranianos y los suministros.