Descobreixen dos greus forats de seguretat que han estat ignorats per Microsoft
Ara mateix, milions d'ordinadors Windows de tot el món estan desprotegits i són susceptibles de patir fins a dos atacs de dia zero diferents. El més preocupant, però, és que Microsoft, l'empresa propietària de Windows, no n'està distribuint un pedaç oficial tot i haver-ne tingut constància des de fa temps.
Un dia zero és una vulnerabilitat especialment greu que afecta aplicacions o sistemes operatius. El que li confereix la gravetat és que els responsables de seguretat encara no hi han trobat una solució, o bé perquè el forat s'ha conegut de manera recent o perquè en desconeixen l'existència.
Mentre no es distribueix el pedaç que tapi el forat de seguretat, els hackers tenen via lliure per utilitzar-lo en benefici propi.
Follina i DogWalk, les dues noves vulnerabilitats detectades a Windows, s'aprofiten d'un problema a l'eina de diagnosi de Microsoft MSDT (Microsoft Support Diagnostic Tool), que es coneix més popularment per executar l'"Assistent per solucionar problemes de diagnòstic".
L'aplicació MSDT, inclosa per defecte a Windows, serveix per recopilar informació sobre el funcionament del sistema i reenviar-la a Microsoft per ser analitzada quan es produeix qualsevol error.
Els forats de seguretat permeten que hackers malintencionats activin remotament el codi maliciós per robar dades o executar aplicacions a distància, cosa que a la pràctica suposa tenir un control total de l'equip atacat. De fet, ja hi ha constància de ciberatacs que estan aprofitant activament almenys un d'aquests problemes de seguretat, Follina.
DogWalk, un forat sense solució durant dos anys
L'últim problema de dia zero que ha transcendit és també el que porta més temps sense solucionar-se. Microsoft té constància de la vulnerabilitat DogWalk des del 2020. Ignorar-lo va ser una decisió conscient, ja que Microsoft va considerar que no requeria una solució immediata.
El desdeny de Microsoft ha sorprès la comunitat d'experts en ciberseguretat a les xarxes socials, especialment l'expert en errors informàtics j00sean, que ha fet notar que DogWalk es coneix des de fa dos anys i és més greu del que creuen els de l'empresa amb seu a Redmond. L'expert insistia fa poc en la necessitat de posar-hi remei, i va per pública la resposta de Microsoft:
La conseqüència directa de la manca d'una solució oficial és que molts ordinadors Windows continuaran desprotegits i vulnerables per DogWalk perquè no rebran una actualització automàtica de seguretat i, per tant, s'espera que pròximament es coneguin casos de ciberatacs que aprofitin el problema.
Davant la negativa de Microsoft, l'organització 0patch, projecte propietat de l'empresa de ciberseguretat ACROS Security, ofereix un micropedaç gratuït que consta d'onze instruccions que impedeixen l'explotació de DogWalk.
Follina, la vulnerabilitat descoberta per casualitat
Els mitjans especialitzats de tot el món van fer-se ressò de Follina a finals de maig, un greu forat de seguretat que comparteix nom amb una població italiana i que s'aprofitava de programes de la suite ofimàtica Office (que inclou, entre d'altres, els programes Word i Excel) per afectar pràcticament totes les versions de Windows. Els experts, però, no descarten que es pugui utilitzar qualsevol altre programa per explotar la vulnerabilitat.
En el cas de Follina, han estat els ciberdelinqüents els que han detectat (i explotat) primer el problema, abans que cap responsable de seguretat se n'adonés. De fet, es creu que els hackers se n'han pogut aprofitar des d'almenys al mes d'abril, moment en què es va descobrir perquè algú va pujar un document que explotava Follina a la pàgina d'anàlisi de ciberamenaces VirusTotal, tal com van explicar el grup d'experts en ciberseguretat nao_sec:
És habitual que es puguin evitar la majoria d'atacs provinents d'aplicacions Office simplement deshabilitant les macros, una opció que permet seqüenciar un seguit d'ordres i automatitzar certes tasques dins de programes com Word o Excel. No és el cas de Follina, que no requereix fer servir les macros i ni tan sols ser descarregat per afectar el sistema: la previsualització de l'arxiu podria ser suficient per activar el seu codi maliciós.
En aquest cas, han estat els mitjans i les xarxes socials els que han alertat els responsables de seguretat de Microsoft. L'empresa segueix sense distribuir una solució oficial, però en aquesta ocasió, tot i haver-lo menyspreat inicialment, ja ha reconegut el perill potencial de Follina, n'ha fet un avís i l'ha catalogat sota el codi CVE-2022-30190. De moment, tanmateix, ofereix una solució temporal que implica deshabilitar el protocol que activa l'eina de diagnosi MSDT. Aquesta és l'explicació que fa Microsoft de la vulnerabilitat:
Hi ha una vulnerabilitat d'execució de codi remot quan s'executa MSDT mitjançant el protocol URL des d'una aplicació que l'activi, com ara Word. Un atacant que exploti amb èxit aquesta vulnerabilitat pot executar codi arbitrari amb els privilegis de l'aplicació que fa l'activació. Aleshores, l'atacant pot instal·lar programes, veure, canviar o suprimir dades, o crear nous comptes en el context que permeten els drets de l'usuari.
Microsoft assegura estar "treballant en una resolució i oferirà una actualització en un pròxim llançament", però mentrestant, ha estat, de nou, l'organització 0patch els que s'han avançat desenvolupant i distribuint un pedaç que soluciona el problema. El pedaç s'ha d'instal·lar manualment perquè es tracta d'una solució no oficial.
A l'amenaça dels dos forats de dia zero detectats i sense solució oficial, se suma una de les pitjors conseqüències de l'àmplia difusió que reben aquests tipus de vulnerabilitats: ara els ciberdelinqüents de tot el món tenen tota la informació necessària per explotar-les, i són molt més ràpids ells aprofitant-se'n que els responsables de seguretat o usuaris protegint-se. Per començar, el nombre d'atacs basats en Follina ja ha augmentat de forma exponencial els darrers dies.
