Vulnerabilidad de ejecución remota de código (RCE) en Microsoft Office.

Microsoft ha reportado un nuevo aviso de seguridad sobre una vulnerabilidad que afecta a archivos de Microsoft Office, que permitiría a un atacante realizar ejecución remota de código (RCE). La vulnerabilidad está siendo explotada activamente y existe una prueba de concepto (PoC) pública de la misma. 

La vulnerabilidad denominada “Follina” fue asignada como CVE-2022-30190, con severidad alta y puntuación de 7.8. Esta se debe a una incorrecta validación de entrada al procesar archivos de Word en la funcionalidad para cargar HTML de un enlace externo y luego utiliza el esquema “ms-msdt” para ejecutar código Powershell. Un atacante remoto no autenticado podría aprovechar esta vulnerabilidad para realizar ejecución remota de código (RCE) en el sistema operativo de destino, incluso aunque los macros se encuentren deshabilitados.  

Actualmente Microsoft no ha publicado parches para CVE-2022-30190, sin embargo sugerimos seguir las siguientes instrucciones de mitigación para la vulnerabilidad: 

  1. Ejecutar el símbolo del sistema como administrador. 
  1. Realizar una backup de la clave -HKEY_CLASSES_ROOT\ms-msdt del regedit en caso de querer recuperar la asociación del enlace a posterior, mediante el comando reg export HKEY_CLASSES_ROOT\ms-msdt filename 
  1. Eliminar la clave del registro: [-HKEY_CLASSES_ROOT\ms-msdt], mediante el comando reg delete HKEY_CLASSES_ROOT\ms-msdt /f. Una vez que la clave HKEY_CLASSES_ROOT\ms-msdt fuese eliminada del registro, si se intenta lanzar el ataque, el usuario verá el siguiente mensaje: 

Importante:  Los cambios se harán efectivos recién tras el reinicio.  

Fuente: https://msrc-blog.microsoft.com/2022/05/30/guidance-for-cve-2022-30190-microsoft-support-diagnostic-tool-vulnerability/ 

Información adicional: 

Compartir: