Dos años y medio después de que un investigador de seguridad revelara públicamente la existencia de una vulnerabilidad de día cero de ejecución remota de código (RCE) en la Herramienta de diagnóstico de soporte de Microsoft Windows (MSDT), denominada DogWalk, Microsoft finalmente ha publicado una solución para la problema después de que surgiera una nueva variante, sin haberlo hecho anteriormente porque no cumplía con los criterios correctos.
Rastreado como CVE-2022-34713, la explotación exitosa requiere que se convenza a la víctima para que abra un archivo especialmente diseñado, que se puede enviar por correo electrónico o en un sitio web comprometido o controlado por un atacante. Como tal, se califica como meramente importante en lugar de crítica.
Esta es la segunda vulnerabilidad importante de MSDT que ha sido reparada por Microsoft en los últimos meses, luego de la divulgación del peligroso día cero de Follina a fines de mayo, que fue parcheado en junio.
“Con los informes de que CVE-2022-34713 ha sido explotado en la naturaleza, parece que los atacantes están buscando aprovechar las fallas dentro de MSDT, ya que este tipo de fallas son extremadamente valiosas para lanzar ataques de phishing”, dijo el personal senior de investigación de Tenable. ingeniero Satnam Narang.
“Una variedad de actores de amenazas aprovechan el phishing selectivo, desde grupos de amenazas persistentes avanzadas (APT) hasta afiliados de ransomware”, dijo. “Para los atacantes, los errores que se pueden ejecutar a través de documentos maliciosos siguen siendo una herramienta valiosa, por lo que se seguirán utilizando fallas como Follina y CVE-2022-34713 durante meses. Por lo tanto, es vital que las organizaciones apliquen los parches disponibles lo antes posible”.
El director de investigación de vulnerabilidades y amenazas de Qualys, Bharat Jogi, agregó: “La vulnerabilidad de día cero de DogWalk no es nueva en la industria. Se informó inicialmente en 2019, pero no se consideró una vulnerabilidad, ya que se creía que requería una interacción significativa del usuario para explotar, y había otras mitigaciones en su lugar.
“Sin embargo, a medida que vemos que los malos actores de hoy se vuelven más sofisticados y creativos en sus hazañas, un día cero reciente que aprovechó el esquema URI del protocolo ms:msdt (Follina) obligó a MSFT a reconsiderar DogWalk como una vulnerabilidad”, dijo. “Follina ha sido utilizada recientemente por actores de amenazas, por ejemplo, APT TA413 chino, en campañas de phishing que se han dirigido al personal del gobierno local de EE. UU. y Europa, así como a un importante proveedor de telecomunicaciones australiano. La explotación exitosa de esta vulnerabilidad permite a un atacante implementar malware y afianzarse en un sistema”.
La actualización de agosto corrige un total mayor que el promedio de 121 vulnerabilidades, 17 de ellas clasificadas como críticas, probablemente en parte debido a revelaciones y vulnerabilidades de prueba de concepto que se mostrarán en Black Hat USA y el próximo evento de hackers DEF CON .
De las vulnerabilidades críticas, dos de las más graves parecen ser CVE-2022-30133 y CVE-2022-35744, ambas son vulnerabilidades RCE que afectan al Protocolo punto a punto de Windows, y ambas tienen puntuaciones CVSS de 9,8. aunque ninguno ha sido hecho público o explotado. Un desglose completo de las vulnerabilidades críticas de este mes está disponible en Zero Day Initiative.
También cabe destacar una vulnerabilidad de divulgación de información divulgada públicamente pero aún no explotada que afecta a Exchange Server, rastreada como CVE-2022-30134. Greg Wiseman, gerente principal de productos de Rapid7, explicó su importancia:
“En este caso, la simple aplicación de parches no es suficiente para evitar que los atacantes puedan leer los mensajes de correo electrónico dirigidos”, dijo. “Los administradores deben habilitar la Protección extendida para remediar por completo esta vulnerabilidad, así como las otras cinco vulnerabilidades que afectan a Exchange este mes. Los detalles sobre cómo lograr esto están disponibles a través del blog de Exchange”.
