Microsoft ya ha publicado una guía de soporte y soluciones temporales para que los administradores de TI mitiguen la amenaza. Hackers chinos aprovechan el día cero de Microsoft para aumentar la lista de productos Office vulnerables.
La vulnerabilidad de día cero de Microsoft Office reportada ampliamente esta semana ya está siendo utilizada en ataques activos. Estos vienen de parte de piratas informáticos patrocinados por el estado chino, dijo una compañía de seguridad cibernética.
El grupo de amenazas persistentes avanzadas (APT) rastreado como TA413 ha sido visto haciéndose pasar por el Escritorio de Empoderamiento de la Mujer de la Administración Central Tibetana. Se trata de una división genuina dedicada a temas como la igualdad de género y la lucha contra la violencia contra las mujeres.
Los investigadores de Proofpoint dijeron que los documentos maliciosos se entregan a través de archivos zip a través de URL que tienen como objetivo imitar al gobierno tibetano. Sin embargo, no comentaron sobre el tipo de carga útil que se entrega.
Hackers chinos aprovechan el día cero de Microsoft para aumentar la lista de productos Office vulnerables
La vulnerabilidad explota el esquema de identificador uniforme de recursos (URI) de Microsoft Office ms-msdt. Ahora se rastrea como CVE-2022-30190. Ya se ha demostrado que funciona en todas las versiones de Microsoft Office y Windows Server, incluido Office 365, que anteriormente se pensaba que no ser vulnerable.
La explotación exitosa de la herramienta de diagnóstico y solución de problemas puede conducir a la ejecución de código malicioso en los sistemas Windows. Si el documento malicioso se guarda con formato de texto enriquecido (RTF), el código también se puede ejecutar buscando el documento en la pestaña de vista previa del Explorador de Windows, sin siquiera abrirlo.
Desde que se informó de la vulnerabilidad, se supo que Microsoft estaba al tanto de la vulnerabilidad desde el 12 de abril de 2022. El descubrimiento se le atribuyó a un investigador con el alias de crazyman. Este forma parte de un colectivo de caza de errores llamado Shadow Chaser Group. Envió una prueba a Microsoft con un ejemplo de explotación del mismo.
Inmediatamente, el equipo de Microsoft reconoció que el esquema MSDT se ejecutó como parte del documento malicioso.
Junto con la asignación del identificador de seguimiento CVE de día cero, Microsoft ha publicado un documento de soporte para usuarios de Windows y Microsoft Office. Este informa sobre las soluciones temporales que pueden implementar para mitigar la amenaza.
La solución alternativa recomendada es deshabilitar el URI de MSDT. Con esto se evita que los solucionadores de problemas se inicien como enlaces, incluidos los enlaces en todo el sistema operativo.
Aún se puede acceder a los solucionadores de problemas utilizando la aplicación Obtener ayuda, dijo Microsoft, y a través de la configuración del sistema.