Los piratas informáticos CHINOS están explotando una nueva vulnerabilidad en Microsoft Office: así es como puede protegerse.
Una nueva falla de día cero en Microsoft Office denominada «Follina» está siendo armada por el actor de amenazas respaldado por China TA413, informó The Hacker News.
Las vulnerabilidades de día cero son aquellas que aún no han sido parcheadas o parcheadas por los desarrolladores de software, lo que significa que los piratas informáticos y los ciberdelincuentes pueden explotarlas por completo.
A menudo se derivan de problemas previamente desconocidos y son especialmente peligrosos hasta que los codificadores pueden solucionar el problema.
Una vez que se escribe y usa un parche de solución, el exploit ya no se denomina exploit de día cero.
La falla de Follina, también identificada como CVE-2022-30190 (puntaje CVSS: 7.8), puede usarse para ejecutar código en sistemas Windows, advirtió Microsoft en una declaración reciente.
Una vez explotado con éxito, el atacante puede «instalar programas, ver, modificar o eliminar datos, o crear nuevas cuentas dentro del contexto permitido por los derechos del usuario», agregó el gigante tecnológico.
Follina se encuentra específicamente en la herramienta de diagnóstico de soporte de Microsoft (MSDT) y afecta las versiones de Microsoft Office 2013 a Office 2019, Office 2021, Office 365 y Office ProPlus, según Dark Reading.
Los malhechores utilizan documentos de Office especialmente diseñados para desencadenar el exploit.
«TA413 CN APT ha sido detectado explotando Follina Zero Day mediante el uso de URL para entregar archivos ZIP que contienen documentos de Word utilizando la técnica», agregó la firma de seguridad Proofpoint. Explique en un tuit.
«Las campañas se hacen pasar por la ‘Oficina de Empoderamiento de la Mujer’ del Gobierno Central Tibetano y usan el dominio Tibet-gov.web[.]solicitud.»
Se sabe que el actor de amenazas, o grupo, apunta a la diáspora tibetana por «entregar implantes como Exile RAT y Sepulcher, así como una extensión del navegador Firefox denominada FriarFox», según The Hacker News.
Cómo protegerse a sí mismo o a su organización
Aunque no hay un parche oficial disponible en este momento, Microsoft ha recomendado que los usuarios tomen precauciones para mitigar el riesgo de ser atacados.
Primero, los usuarios deben deshabilitar el protocolo URL de MSDT para evitar el ataque.
«Deshabilitar el protocolo URL de MSDT evita que los solucionadores de problemas se inicien como enlaces, incluidos los enlaces en todo el sistema operativo», dijo Microsoft.
Para deshabilitar la URL de MSDT, primero ejecute el símbolo del sistema como administrador.
Luego guarde la clave de registro y ejecute el comando «reg export HKEY_CLASSES_ROOTms-msdt Nombre del archivo«,
Finalmente, ejecute el comando «reg delete HKEY_CLASSES_ROOTms-msdt /f».
Microsoft también señaló que los usuarios ejecutan Microsoft Defender Antivirus si lo tienen.
Defender permite la protección en la nube y el envío automático de muestras, lo que puede identificar y detener rápidamente amenazas nuevas y desconocidas.
Además, algunos expertos han aconsejado a los usuarios que deshabiliten el panel de vista previa en el Explorador de archivos.
Para hacer esto, abra el Explorador de archivos> haga clic en la pestaña Ver> toque el panel de vista previa para mostrarlo u ocultarlo.
¡Pagamos por tus historias!
¿Tienes una historia para el equipo de The US Sun?