Follina: la vulnerabilidad que infectaba tu PC mediante documentos de Office

¿Qué es Follina?

Follina, también conocido como CVE-2022-30190, es una vulnerabilidad zero day descubiera a finales del pasado mes de Mayo de 2022. Afecta a equipos con Windows 7 en adelante. El culpable de esta vulnerabilidad es la herramienta de diagnóstico de Windows (MSDT)

Fue detectado por primera vez a finales de abril, momento en el que se subió a VirusTotal un documento que lo explotaba.

¿Cómo se explota la vulnerabilidad de Follina?

Los atacantes diseñaban archivos de MS Office corruptos (generalmente de excel y word) que se les hace llegar a las víctimas. La forma más común para esto era mediante un correo phishing, concretamente de scam, donde se adjunta dicho archivo a un correo que, mediante ingeniería social, incentive a la víctima a descargarlo y abrirlo.

Cuando se intenta ver el archivo, el usuario se encontrará con que su ordenador no es capaz de abrirlo, y se le dará la opción de ejecutar la herramienta de diagnóstico de Windows.

La herramienta MSDT adquiere privilegios de la aplicación que la activó. El archivo malicioso contiene un enlace HTML que a su vez contiene un código JavaScript con el que se pueden ejecutar comandos de PowerShell. Cuantos más privilegios tenga el usuario que ejecuta el MSDT, más graves pueden ser los comandos que se ejecuten.

Cómo protegerse del CVE-2022-30190

El 14 de junio Microsoft lanzaba la actualización KB5014746 para suplir la vulnerabilidad de follina, información completa del parche aquí.

Si por cualquier motivo quieres mantener una versión anterior, existe otra forma de protegerse de Follina, para ello hay que desactivar el protocolo URL del MSDT, que inhabilita la posibilidad de obtener recursos externos por parte de archivos maliciosos.

Para ello hay que abrir una terminal con permisos de administración e ingresar los siguientes comandos:

  • {reg export HKEY_CLASSES_ROOT\ms-msdt filename} filename será el nombre del archivo donde guardamos la copia de seguridad del registro, que nos permitirá revertir los cambios en caso de ser necesario.
  • {reg delete HKEY_CLASSES_ROOT\ms-msdt /f} Este es el comando encargado de deshabilitar el protocolo URL.

En caso de querer restablecer el registro a su forma original, usaremos el comando {reg import filename}


«
»

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *