Los atacantes pueden explotar esta vulnerabilidad, incluso si las macros de Office están deshabilitadas.
Informaciòn tomada del hilo de twitter de @weareDMNTRs y complementada.
La vulnerabilidad fue revelada inicialmente por @nao_sec a través de Twitter el 27 de mayo:
“El documento utiliza la función de plantilla remota de Word para recuperar un archivo HTML de un servidor web remoto, que a su vez utiliza el esquema de URI MSProtocol ms-msdt para cargar código y ejecutar PowerShell”, explica. “Eso no debería ser posible”.
Los atacantes pueden explotar esta vulnerabilidad, a la que se ha denominado “Follina”, incluso si las macros de Office están deshabilitadas. Office 2013, 2016, 2019, 2021 y algunas versiones de Office 365 están sujetas a esta vulnerabilidad tanto en Windows 10 como en 11.
O sea, esta vulnerabilidad proporciona una forma de ejecutar código en un sistema de destino con un solo clic o incluso simplemente con una vista previa del documento malicioso, utilizando herramientas de soporte (ms-msdt) y PowerShell. ¡De locos!
Obviamente, ahora vamos a tener una avalancha de correos electrónicos con adjuntos intentando explotar esta vulnerabilidad, por lo que hay que EXTREMAR LAS PRECAUCIONES.
En caso de que al abrir algún fichero en Word, el sistema comience a “Buscar problemas” con el Programa de Compatibilidad, recomiendo desconectar ese equipo de la red rápidamente y comenzar con el protocolo establecido.
Soluciòn Preliminar
De manera provisional podemos mitigar el reisgo de ‘Follina’, dehabilitando la caracteristica [ms-msdt].
Eliminar la clave del registro: [-HKEY_CLASSES_ROOT\ms-msdt] Como siempre, recomiendo antes sacar copia del registro por lo que pueda pasar.
Este github te muestra la linea de registro a modificar
Tambien puedes usar el archivo .reg creado por nosotros y ejecutarlo. Importante, reiniciar.
Aqui una muestra de lo sencillo que resulta ser explotada la vulnerabilidad.
Al realizar la mitigación, eliminando la clave -HKEY_CLASSES_ROOT\ms-msdt del registro, si se intenta lanzar el ataque, el usuario verá esto de la foto. No es óptimo, pero algo es algo.
Agradecimeintos a @weareDMNTRs, @nao_sec, @victor_noguera