Follina: la vulnerabilidad que infectaba tu PC mediante documentos de Office ‣ Infotips

Follina: la vulnerabilidad que infectaba tu PC mediante documentos de Office

agosto 23, 2022

•

Ciberseguridad

1¿Qué es Follina?

2¿Cómo se explota la vulnerabilidad de Follina?

3Cómo protegerse del CVE-2022-30190

¿Qué es Follina?

Follina, también conocido como CVE-2022-30190, es una vulnerabilidad zero day descubiera a finales del pasado mes de Mayo de 2022. Afecta a equipos con Windows 7 en adelante. El culpable de esta vulnerabilidad es la herramienta de diagnóstico de Windows (MSDT)

Fue detectado por primera vez a finales de abril, momento en el que se subió a VirusTotal un documento que lo explotaba.

¿Cómo se explota la vulnerabilidad de Follina?

Los atacantes diseñaban archivos de MS Office corruptos (generalmente de excel y word) que se les hace llegar a las víctimas. La forma más común para esto era mediante un correo phishing, concretamente de scam, donde se adjunta dicho archivo a un correo que, mediante ingeniería social, incentive a la víctima a descargarlo y abrirlo.

Cuando se intenta ver el archivo, el usuario se encontrará con que su ordenador no es capaz de abrirlo, y se le dará la opción de ejecutar la herramienta de diagnóstico de Windows.

La herramienta MSDT adquiere privilegios de la aplicación que la activó. El archivo malicioso contiene un enlace HTML que a su vez contiene un código JavaScript con el que se pueden ejecutar comandos de PowerShell. Cuantos más privilegios tenga el usuario que ejecuta el MSDT, más graves pueden ser los comandos que se ejecuten.

Cómo protegerse del CVE-2022-30190

El 14 de junio Microsoft lanzaba la actualización KB5014746 para suplir la vulnerabilidad de follina, información completa del parche aquí.

Si por cualquier motivo quieres mantener una versión anterior, existe otra forma de protegerse de Follina, para ello hay que desactivar el protocolo URL del MSDT, que inhabilita la posibilidad de obtener recursos externos por parte de archivos maliciosos.

Para ello hay que abrir una terminal con permisos de administración e ingresar los siguientes comandos:

{reg export HKEY_CLASSES_ROOT\ms-msdt filename} filename será el nombre del archivo donde guardamos la copia de seguridad del registro, que nos permitirá revertir los cambios en caso de ser necesario.
{reg delete HKEY_CLASSES_ROOT\ms-msdt /f} Este es el comando encargado de deshabilitar el protocolo URL.

En caso de querer restablecer el registro a su forma original, usaremos el comando {reg import filename}

Cookie	Duración	Descripción
cookielawinfo-checkbox-analytics	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics".
cookielawinfo-checkbox-functional	11 months	The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional".
cookielawinfo-checkbox-necessary	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-others	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other.
cookielawinfo-checkbox-performance	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance".
viewed_cookie_policy	11 months	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.

Follina: la vulnerabilidad que infectaba tu PC mediante documentos de Office

¿Qué es Follina?

¿Cómo se explota la vulnerabilidad de Follina?

Cómo protegerse del CVE-2022-30190

Deja una respuesta Cancelar la respuesta

Usamos cookies para asegurar una mejor navegación