«Follina» y «DogWalk». Dos vulnerabilidades 0-Day de Windows sin parche. Así puedes protegerte.

El 28 de mayo un analista de ciberseguridad japonés publicó en twitter (@nao_sec) una vulnerabilidad 0-Day la cual apodó con el nombre de «Follina», que permite inyectar código sin autorización del usuario pudiendo tomar el control de la máquina afectada.

Días más tarde otro usuario (@j00sean) publicó también en twitter otra vulnerabilidad llamada Dog Walk muy similar a Follina. Lo curioso es que Microsoft fue informada en 2020 es este tipo de vulnerabilidades, pero a día de hoy todavía no se ha parcheado el fallo.

Ambas vulnerabilidades hacen uso de la Herramienta de diagnóstico para Soporte técnico de Microsoft (msdt.exe), una herramienta que incluye Windows que tiene el objetivo de recopilar información del sistema y enviarla a técnicos de Microsoft para resolver un problema.

FOLLINA

Follina ha sido clasificada técnicamente como CVE-2022-30190 tiene un riesgo «alto». Permite ejecutar código remoto cuando se llama a msdt.exe desde otra aplicación, como, por ejemplo, Microsoft Word, Outlook e incluso Office 365. El código malicioso que puede ejecutarse se realiza a través de PowerShell pudiendo comprometer a la máquina afectada, elevando privilegios, instalando software no deseado, etc.

El investigador hizo público en su twitter el descubrimiento:

Interesting maldoc was submitted from Belarus. It uses Word's external link to load the HTML and then uses the "ms-msdt" scheme to execute PowerShell code.https://t.co/hTdAfHOUx3 pic.twitter.com/rVSb02ZTwt

— nao_sec (@nao_sec) May 27, 2022

mitigando a follina

Microsoft ha publicado que está trabajando en una solución, pero consideran que lo mejor es desactivar este protocolo inseguro de la siguiente forma:

1. Ejecuta el símbolo del sistema (cmd) como administrador.
2. (Opcional) Ve a una ruta donde quieras guardar una copia de la clave del registro y haz una copia de seguridad de la clave del registro (regedit) ejecutando:

reg export HKEY_CLASSES_ROOT\ms-msdt nombre_fichero_copia_seguridad

3. Ejecuta el comando:

reg delete HKEY_CLASSES_ROOT\ms-msdt /f

Para revertir la solución haz lo siguiente:

1. Ejecuta el símbolo del sistema (cmd) como administrador.

2. Ejecuta el comando:

reg import nombre_fichero_copia_seguridad

DOG WALK

Esta vulnerabilidad fue descubierta hace dos años, como comenté antes, por un analista de seguridad llamado Imre Rad, en su artículo The trouble with Microsoft’s Troubleshooters. Pero Microsoft no hizo nada. Y ahora otro investigador (@j00sean), la han vuelto a redescubrir. Realmente ambas se aprovechan del mismo fallo de seguridad.

This is for sure an underrated 0day on Microsoft Support Diagnostics Tool. To summarize:

1) Persistence by startup folder.
2) MOTW bypass.
3) Not flagged by chromium-based file downloaders (Chrome, Edge or Opera).
4) Defender bypass.

All-in-one. Enjoy!https://t.co/lgTnDSxYGM pic.twitter.com/UyNyEYlH4c

— j00sean (@j00sean) June 2, 2022

MITIGANDO A DOG WALK

Microsoft no ha dado un walkaround para solucionar esta vulnerabilidad. Sin embargo, un investigado independiente ha creado un parche no oficial para mitigar el problema que puede descargarse gratuitamente desde su blog 0patch.