Vulnerabilidades

Follina: Vulnerabilidad en Microsoft Support Diagnostic Tool

03/06/2022
Microsoft publicó una vulnerabilidad de tipo “0-day” de severidad alta. Si bien todavía no existe un parche de seguridad, Microsoft publicó las medidas de mitigación necesarias para evitar la explotación al deshabilitar el protocolo de URL de MSDT (Microsoft Support Diagnostic Tool) que afecta a los sistemas vulnerables.

Existen diversas pruebas de concepto públicas en Internet y la vulnerabilidad está siendo activamente explotada.

Detalles técnicos

Productos Afectados

Versiones

Windows

  • 7
  • 8.1
  • 10
  • 11

Windows Server

  • 2008
  • 2012
  • 2016
  • 2019
  • 20H2
  • 2022

Esta vulnerabilidad catalogada como “0-day” y denominada “Follina”, podría permitir a quien ataca la ejecución de código remoto (RCE) y tomar el control del sistema afectado.

La falla se produce cuando se llama a MSDT mediante el protocolo URL desde una aplicación de llamadas puede ser Microsoft Word. Si quien ataca explota esta vulnerabilidad con éxito, entonces puede ejecutar código arbitrario con los privilegios de la aplicación que realiza la llamada.

De esta manera quien ataca puede luego instalar programas, ver, cambiar, eliminar datos o crear nuevas cuentas en el contexto permitido por los derechos del usuario.

Mitigación

Actualmente no existe un parche de seguridad que pueda mitigar esta vulnerabilidad, por eso recomendamos desactivar el protocolo URL de MSDT.

  • Iniciar la consola de comandos como Administrador
  • Realizar un backup del registro, z ejecutando el siguiente comando: reg export HKEY_CLASSES_ROOT\ms-msdt filename
  • Y luego ejecutar el comando: reg delete HKEY_CLASSES_ROOT\ms-msdt /f

Recomendaciones

Instamos a los administradores aplicar el workaround siguiendo las recomendaciones que Microsoft publicó en su guía.

Acceder a la guía de recomendaciones de Microsoft

Referencias

Etiquetas

Amenazas y alertas Comunidad Técnica