Las nuevas actualizaciones de seguridad de Microsoft resuelven el problema Follina de la vulnerabilidad de día cero de Windows

Según la Bleeping Computer, hay una vulnerabilidad en curso en Windows que Microsoft ha parcheado recientemente. El 30 de mayo, Microsoft sugirió algunas soluciones para solucionar el problema. No obstante, las actualizaciones de Windows 10 KB5014699 y Windows 11 KB5014697 resolverán automáticamente todo para los usuarios, lo que las hace muy urgentes para todos los usuarios.

“La actualización para esta vulnerabilidad se encuentra en las actualizaciones acumulativas de Windows de junio de 2022”, dice Microsoft. “Microsoft recomienda enfáticamente que los clientes instalen las actualizaciones para estar completamente protegidos contra la vulnerabilidad. Los clientes cuyos sistemas están configurados para recibir actualizaciones automáticas no necesitan tomar ninguna medida adicional”.

Bleeping Computer dice que la falla de seguridad llamada Follina rastreada como CVE-2022-30190 cubre las versiones de Windows que aún están recibiendo actualizaciones de seguridad, incluidos Windows 7+ y Server 2008+. Los piratas informáticos lo explotan para obtener el control de las computadoras de un usuario mediante la ejecución de comandos maliciosos de PowerShell a través de la Herramienta de diagnóstico de soporte de Microsoft (MSDT), según lo descrito por el equipo independiente de investigación de seguridad cibernética. nao_sec. Esto significa que los ataques de Ejecución de código arbitrario (ACE) pueden ocurrir simplemente al obtener una vista previa o al abrir un documento malicioso de Microsoft Word. Curiosamente, el investigador de seguridad CrazymanEjército le dijo al equipo de seguridad de Microsoft sobre el día cero en abril, pero la compañía simplemente despedido el informe presentado, diciendo que "no es un problema relacionado con la seguridad".

TA413 CN APT vio a ITW explotando el #follina #0Día usando URL para entregar archivos Zip que contienen documentos de Word que usan la técnica. Las campañas se hacen pasar por la "Oficina de Empoderamiento de la Mujer" de la Administración Central Tibetana y usan el dominio tibet-gov.web[.]app pic.twitter.com/4FA9Vzoqu4

— Perspectiva de amenazas (@threatinsight) 31 de mayo de 2022

En un reporte de la empresa de investigación de seguridad Proofpoint, un grupo vinculado al gobierno chino llamado Chinese TA413 apuntó a los usuarios tibetanos enviándoles documentos maliciosos. “TA413 CN APT detectó a ITW explotando #Follina #0Day usando URL para entregar archivos Zip que contienen documentos de Word que usan la técnica”, escribe Proofpoint en un tweet. “Las campañas se hacen pasar por la 'Oficina de Empoderamiento de la Mujer' de la Administración Central Tibetana y usan el dominio tibet-gov.web[.]app”.

Aparentemente, dicho grupo no es el único que explota la vulnerabilidad. Otros malos actores independientes y relacionados con el estado se han estado aprovechando de esto desde hace bastante tiempo, incluido un grupo que disfrazó un documento como un memorando de aumento de salario para robar agencias gubernamentales de EE. UU. y la UE. Otros incluyen el Afiliado TA570 Qbot que entrega el malware Qbot y los primeros ataques que se vieron usando amenazas de sextorsión y cebos como Invitación a entrevista de Sputnik Radio. 

Una vez abiertos, los documentos infectados enviados permitirán a los piratas informáticos controlar MDST y ejecutar comandos, lo que provocará instalaciones de programas no permitidas y acceso a datos informáticos que los piratas informáticos pueden ver, eliminar o modificar. Los actores también pueden crear nuevas cuentas de usuario a través de la computadora del usuario.