Los piratas informáticos respaldados por China están atacando la versión sin parche de la vulnerabilidad de día cero de Microsoft Office, llamada “Follina”, y ejecutando código malicioso de forma remota en varios sistemas Windows.
“Vulnerabilidad de alta gravedad”
El código malicioso se considera una vulnerabilidad de alta gravedad y ahora se está rastreando como CVE-2022-30190. La vulnerabilidad se utiliza en los ataques para incrustar comandos dañinos de PowerShell a través de la herramienta de diagnóstico de Microsoft (MSDT) que aparece cuando se abren o se obtienen una vista previa de documentos de Office.
Esta falla afecta a un total de 41 productos de Microsoft, como Office 365, Windows 11 y más. Además, puede funcionar incluso sin la presencia de privilegios elevados, no necesita código de macro para ejecutar scripts o archivos binarios y evita la detección de Windows Defender.
De acuerdo a Informe de Tech Crunchel día cero puede permitir eludir la función Vista protegida de Microsoft, una de las herramientas de Microsoft Office que advierte al usuario sobre archivos y documentos maliciosos.
Mientras tanto, investigadores de la plataforma de ciberseguridad Cazadora advirtió que si un usuario convierte un documento a un archivo de formato de texto enriquecido (RTF), podría permitir a los atacantes eludir esta advertencia y les permite explotarlo con una vista previa del archivo descargado que no implica ningún clic por parte del usuario.
Microsoft también señaló que la falla podría llevar a los piratas informáticos a instalar programas, eliminar datos y crear nuevas cuentas según el contexto garantizado por los derechos del usuario.
Lea también: Microsoft aborda los hacks de día cero que afectan a los navegadores basados en Chromium
Hackers patrocinados por el Estado chino
En abril, los expertos en ciberseguridad ya notaron que los piratas informáticos estaban explotando la falla para atacar a usuarios de Rusia y Bielorrusia.
Pero más recientemente, una empresa de seguridad empresarial llamada Proofpoint afirmó esta semana que un grupo de piratas informáticos patrocinado por el estado chino ha estado aprovechando el día cero en sus ataques dirigidos a la comunidad tibetana internacional.
Punto de prueba dicho en un tweet que “TA413 CN APT” fue visto en la naturaleza “explotando el día cero de Follina” a través de URL que entregan archivos ZIP que contienen documentos de Word.
“Las campañas se hacen pasar por la ‘Oficina de Empoderamiento de las Mujeres’ de la Administración Central Tibetana y utilizan el dominio tibet-gov.web[.]aplicación[.]”, añadió Proofpoint.
En su declaración con TechCrunch, Proofpoint reveló que había rastreado al actor de amenazas TA412 con los nombres “LuckyCat” y “Earth Berberoka”. Este actor de amenazas se dirige a grupos tibetanos mediante el uso de extensiones de navegador maliciosas y campañas de espionaje con el tema COVID-19.
El día cero de Follina se informó por primera vez a Microsoft el 12 de abril, cuando documentos de Word parecían provenir falsamente de la agencia de noticias rusa Sputnik, que ofrece una entrevista de radio para los destinatarios.
El martes 1 de junio, la Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) usuarios y administradores alertados para revisar la guía de Microsoft e iniciar posibles soluciones.
ⓒ 2023 . .
