Ya está disponible un parche no oficial gratuito para bloquear los ataques en curso contra los sistemas Windows que tienen como objetivo una vulnerabilidad crÃtica de dÃa cero conocida como 'Follina'.
El error, ahora rastreado como CVE-2022-30190 y descrito por Redmond como una falla de ejecución remota de código de la herramienta de diagnóstico de soporte de Microsoft Windows (MSDT), afecta a todas las versiones de Windows que aún reciben actualizaciones de seguridad (Windows 7+ y Server 2008+).
Los atacantes que explotan con éxito este dÃa cero pueden ejecutar código arbitrario con los privilegios de la aplicación que llama para instalar programas, ver, cambiar o eliminar datos, o crear nuevas cuentas de Windows según lo permitan los derechos del usuario.
Si bien Microsoft no ha emitido actualizaciones de seguridad para abordar este dÃa cero explotado activamente, la compañÃa ha compartido medidas de mitigación para bloquear ataques al deshabilitar el protocolo de URL de MSDT que los actores maliciosos usan para ejecutar código en sistemas vulnerables.
Explotada vulnerabilidad en Windows con ataques continuos
SerÃa mejor desactivar el panel Vista previa en el Explorador de Windows para eliminarlo como un vector de ataque adicional explotable al obtener una vista previa de documentos maliciosos.
Aquà es donde entra en juego el servicio de microparches 0patch, con microparches gratuitos (y no oficiales) para algunas versiones de Windows afectadas por el error de seguridad de Follina:
"Tenga en cuenta que no importa qué versión de Office haya instalado, o si tiene Office instalado: la vulnerabilidad también podrÃa explotarse a través de otros vectores de ataque", dijo el cofundador de 0patch, Mitja Kolsek.
"Es por eso que también parcheamos Windows 7, donde el controlador de URL ms-msdt: no está registrado en absoluto".
Para implementar este microparche en su sistema Windows (gratis hasta que Microsoft haya emitido una solución oficial), debe registrar una cuenta 0patch e instalar el agente 0patch.
Una vez que se inicia el agente, descargará y aplicará automáticamente el parche a menos que las polÃticas de seguridad locales lo impidan.
El lunes, la firma de seguridad empresarial Proofpoint reveló que el grupo de piraterÃa TA413 vinculado a China ahora está explotando esta vulnerabilidad de Windows en ataques contra su objetivo favorito, los disidentes de la diáspora tibetana.
El investigador de seguridad MalwareHunterTeam también detectó documentos maliciosos con nombres de archivo chinos que se usaban para implementar troyanos que roban contraseñas a través de http://coolrat[.]xyz.
Sin embargo, los primeros ataques CVE-2022-30190 se detectaron hace más de un mes utilizando amenazas de sextorsión e invitaciones a entrevistas de Sputnik Radio como cebos, como una señal de que la falla fue y probablemente esté siendo explotada por otros actores de amenazas.
CISA también ha instado a los administradores y usuarios de Windows a desactivar el protocolo MSDT después de que Microsoft informara sobre la explotación activa de la vulnerabilidad en la naturaleza.
CrazymanArmy de Shadow Chaser Group, el investigador de seguridad que informó sobre el dÃa cero en abril, dijo que Microsoft rechazó su presentación porque no era un "problema relacionado con la seguridad".
Sin embargo, Redmond luego cerró el informe de envÃo de vulnerabilidades con un impacto de ejecución remota de código.
En las noticias seguiremos las noticias más recientes de Windows como que una actualización bloqueó autenticación de administradores en servidores.
SÃguenos en Facebook y entérate de las noticias trend de la semana
No hay comentarios.:
Publicar un comentario