{"id":27225,"date":"2022-06-02T18:17:21","date_gmt":"2022-06-02T16:17:21","guid":{"rendered":"https:\/\/www.kaspersky.es\/blog\/?p=27225"},"modified":"2022-06-02T18:30:48","modified_gmt":"2022-06-02T16:30:48","slug":"follina-cve-2022-30190-msdt","status":"publish","type":"post","link":"https:\/\/www.kaspersky.es\/blog\/follina-cve-2022-30190-msdt\/27225\/","title":{"rendered":"Follina: documentos de MS Office como puerta de entrada"},"content":{"rendered":"<p>Los investigadores han descubierto otra vulnerabilidad seria en los productos de Microsoft que podr\u00eda permitir a los atacantes que ejecuten c\u00f3digo arbitrario. MITRE ha nombrado esta vulnerabilidad <a href=\"https:\/\/msrc.microsoft.com\/update-guide\/en-US\/vulnerability\/CVE-2022-30190\" target=\"_blank\" rel=\"noopener nofollow\">CVE-2022-30190<\/a>, sin embargo, los investigadores le han puesto un nombre m\u00e1s po\u00e9tico: Follina. Lo m\u00e1s preocupante es que a\u00fan no hay ning\u00fan parche para este <em>bug<\/em>. Y lo que es peor, los ciberdelincuentes ya est\u00e1n explotando activamente esta vulnerabilidad. Aunque se est\u00e1 desarrollando una nueva actualizaci\u00f3n, se aconseja a todos los usuarios y administradores que utilicen soluciones alternativas temporalmente.<\/p>\n<h2>\u00bfQu\u00e9 es CVE-2022-30190 y a qu\u00e9 productos afecta?<\/h2>\n<p>La vulnerabilidad CVE-2022-30190 se encuentra en la herramienta Microsoft Windows Support Diagnostic Tool (MSDT). Esto no parece un gran problema, por desgracia, debido a la implementaci\u00f3n de esta herramienta, la vulnerabilidad puede explotarse a trav\u00e9s de un documento de MS Office malicioso.<\/p>\n<p>MSDT es una aplicaci\u00f3n que se utiliza para recopilar autom\u00e1ticamente informaci\u00f3n de diagn\u00f3stico y enviarla a Microsoft cuando algo falla en Windows. La herramienta puede activarse desde otras aplicaciones (Microsoft Word es el ejemplo m\u00e1s popular) a trav\u00e9s del protocolo especial URL MSDT. Si la vulnerabilidad se explota con \u00e9xito, los atacantes pueden ejecutar c\u00f3digo arbitrario con los privilegios de la aplicaci\u00f3n que activ\u00f3 el MSDT, es decir, en este caso, con los derechos del usuario que abri\u00f3 el archivo malicioso.<\/p>\n<p>La vulnerabilidad CVE-2022-30190 puede explotarse en todos los sistemas operativos de la familia Windows, tanto en escritorio como en un servidor.<\/p>\n<h2>C\u00f3mo explotan los atacantes la vulnerabilidad CVE-2022-30190<\/h2>\n<p>Como ejemplo de un ataque, los investigadores que lo descubrieron describen el siguiente supuesto: Los atacantes crean un documento malicioso de MS Office y de alguna forma se lo hacen llegar a la v\u00edctima. La forma m\u00e1s com\u00fan de hacerlo es mediante un correo electr\u00f3nico con un archivo adjunto malicioso, adornado con alguna trampa cl\u00e1sica de ingenier\u00eda social para convencer al destinatario de que abra el archivo. Suele funcionar algo como: \u201cRevisar urgentemente el contrato, se firma ma\u00f1ana por la ma\u00f1ana\u201d.<\/p>\n<p>El archivo infectado contiene un enlace a un archivo HTML que contiene un c\u00f3digo JavaScript que ejecuta c\u00f3digo malicioso en la l\u00ednea de comandos a trav\u00e9s de MSDT. Cuando la explotaci\u00f3n es exitosa, los atacantes consiguen el control para instalar programas, ver, modificar o destruir datos, as\u00ed como crear nuevas cuentas, es decir, hacer todo lo que permiten los privilegios de la v\u00edctima en el sistema.<\/p>\n<h2>C\u00f3mo protegerse<\/h2>\n<p>Como hemos comentado anteriormente, todav\u00eda no hay un parche. Mientras tanto, Microsoft <a href=\"https:\/\/msrc-blog.microsoft.com\/2022\/05\/30\/guidance-for-cve-2022-30190-microsoft-support-diagnostic-tool-vulnerability\/\" target=\"_blank\" rel=\"noopener nofollow\">recomienda<\/a> deshabilitar el protocolo URL de MSDT. Para hacer esto, debes ejecutar una l\u00ednea de comandos con derechos de administrador y ejecutar el comando <code>reg delete HKEY_CLASSES_ROOT\\ms-msdt \/f<\/code>. \u00a0Antes de hacer esto, se recomienda hacer una copia de seguridad del registro ejecutando <code>reg export HKEY_CLASSES_ROOT\\ms-msdt filename<\/code>. De esta forma, podr\u00e1s restaurar r\u00e1pidamente el registro con el comando <code>reg import filename<\/code> cuando esta soluci\u00f3n ya no sea necesaria.\u00a0\u00a0Sin embargo, esta es solo una soluci\u00f3n temporal y, en cuanto est\u00e9 disponible, deber\u00e1s instalar la actualizaci\u00f3n que cierre la vulnerabilidad de Follina.<\/p>\n<p>Los m\u00e9todos descritos para explotar esta vulnerabilidad implican el uso de correos electr\u00f3nicos con archivos adjuntos maliciosos y m\u00e9todos de ingenier\u00eda social. Por lo tanto, recomendamos tener a\u00fan m\u00e1s cuidado de lo habitual con los correos electr\u00f3nicos de remitentes desconocidos, en especial si contienen documentos de MS Office adjuntos. En cuanto a las empresas, recomendamos informar de forma peri\u00f3dica <a href=\"https:\/\/k-asap.com\/es\/?icid=es_kdailyplacehold_acq_ona_smm__onl_b2b_kasperskydaily_wpplaceholder____kasap___\" target=\"_blank\" rel=\"noopener\">a los empleados<\/a> sobre los trucos m\u00e1s comunes de los hackers.<\/p>\n<p>Adem\u00e1s, todos los dispositivos con acceso a Internet deben estar equipados con <a href=\"https:\/\/www.kaspersky.es\/small-to-medium-business-security?icid=es_kdailyplacehold_acq_ona_smm__onl_b2b_kasperskydaily_wpplaceholder_______\" target=\"_blank\" rel=\"noopener\">soluciones de seguridad robustas<\/a>. Estas soluciones pueden evitar que se ejecute un c\u00f3digo malicioso en el equipo de un usuario incluso cuando se est\u00e9 explotando una vulnerabilidad desconocida.<\/p>\n<input type=\"hidden\" class=\"category_for_banner\" value=\"kesb\">\n","protected":false},"excerpt":{"rendered":"<p>La nueva vulnerabilidad CVE-2022-30190, conocida como Follina, permite la explotaci\u00f3n de la herramienta Microsoft Support Diagnostic Tool mediante los archivos de MS Office.<\/p>\n","protected":false},"author":2698,"featured_media":27233,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[1348,2202,2754,2755],"tags":[3074,30,3334,784,23],"class_list":{"0":"post-27225","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-threats","8":"category-business","9":"category-enterprise","10":"category-smb","11":"tag-dia0","12":"tag-microsoft","13":"tag-rce","14":"tag-vulnerabilidades","15":"tag-windows"},"hreflang":[{"hreflang":"es","url":"https:\/\/www.kaspersky.es\/blog\/follina-cve-2022-30190-msdt\/27225\/"},{"hreflang":"en-in","url":"https:\/\/www.kaspersky.co.in\/blog\/follina-cve-2022-30190-msdt\/24226\/"},{"hreflang":"en-ae","url":"https:\/\/me-en.kaspersky.com\/blog\/follina-cve-2022-30190-msdt\/19707\/"},{"hreflang":"ar","url":"https:\/\/me.kaspersky.com\/blog\/follina-cve-2022-30190-msdt\/9931\/"},{"hreflang":"en-us","url":"https:\/\/usa.kaspersky.com\/blog\/follina-cve-2022-30190-msdt\/26554\/"},{"hreflang":"en-gb","url":"https:\/\/www.kaspersky.co.uk\/blog\/follina-cve-2022-30190-msdt\/24512\/"},{"hreflang":"it","url":"https:\/\/www.kaspersky.it\/blog\/follina-cve-2022-30190-msdt\/26749\/"},{"hreflang":"ru","url":"https:\/\/www.kaspersky.ru\/blog\/follina-cve-2022-30190-msdt\/33255\/"},{"hreflang":"tr","url":"https:\/\/www.kaspersky.com.tr\/blog\/follina-cve-2022-30190-msdt\/10743\/"},{"hreflang":"x-default","url":"https:\/\/www.kaspersky.com\/blog\/follina-cve-2022-30190-msdt\/44461\/"},{"hreflang":"fr","url":"https:\/\/www.kaspersky.fr\/blog\/follina-cve-2022-30190-msdt\/18969\/"},{"hreflang":"pt-br","url":"https:\/\/www.kaspersky.com.br\/blog\/follina-cve-2022-30190-msdt\/19523\/"},{"hreflang":"de","url":"https:\/\/www.kaspersky.de\/blog\/follina-cve-2022-30190-msdt\/28760\/"},{"hreflang":"nl","url":"https:\/\/www.kaspersky.nl\/blog\/follina-cve-2022-30190-msdt\/28301\/"},{"hreflang":"ru-kz","url":"https:\/\/blog.kaspersky.kz\/follina-cve-2022-30190-msdt\/25076\/"},{"hreflang":"en-au","url":"https:\/\/www.kaspersky.com.au\/blog\/follina-cve-2022-30190-msdt\/30588\/"},{"hreflang":"en-za","url":"https:\/\/www.kaspersky.co.za\/blog\/follina-cve-2022-30190-msdt\/30337\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/www.kaspersky.es\/blog\/tag\/vulnerabilidades\/","name":"vulnerabilidades"},"_links":{"self":[{"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/posts\/27225","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/users\/2698"}],"replies":[{"embeddable":true,"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/comments?post=27225"}],"version-history":[{"count":6,"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/posts\/27225\/revisions"}],"predecessor-version":[{"id":27228,"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/posts\/27225\/revisions\/27228"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/media\/27233"}],"wp:attachment":[{"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/media?parent=27225"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/categories?post=27225"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/tags?post=27225"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}