CrowdStrike Falcon protege a los clientes de Follina (CVE-2022-30190)

Dan Fernández - Liviu Arsene


  • El 27 de mayo de 2022, se informó una vulnerabilidad de ejecución remota de código que afectaba a la herramienta de diagnóstico de soporte de Microsoft Windows (MSDT)

  • La vulnerabilidad, que se clasifica como de día cero, se puede invocar a través de documentos de Office armados, archivos de formato de texto enriquecido (RTF), archivos XML y archivos HTML.

  • En el momento de escribir este artículo, no hay ningún parche disponible del proveedor.

  • La plataforma CrowdStrike Falcon ® protege a los clientes de los intentos actuales de explotación de Follina utilizando indicadores de ataque (IOA) basados ​​en el comportamiento.



Los investigadores de seguridad informaron una nueva vulnerabilidad de ejecución remota de código de día cero ( CVE-2022-30190 ) el 27 de mayo de 2022. La falla, denominada Follina, afecta la herramienta de diagnóstico de soporte de Microsoft Windows (MSDT). La explotación exitosa de la vulnerabilidad abusa de la confianza nativa otorgada a la herramienta de diagnóstico de Microsoft Windows ( msdt.exe ), lo que le permite descargar y ejecutar código remoto. En el momento de escribir este artículo, las investigaciones indican que explotar las versiones basadas en archivos de la vulnerabilidad requiere la interacción del usuario, abriendo un archivo de Microsoft Office, RTF, XML o HTML.

Las cargas útiles de prueba de concepto están disponibles públicamente y la explotación de esta vulnerabilidad es de baja complejidad.


Introducción a cómo funciona la vulnerabilidad

Las pruebas de concepto (POC) iniciales aprovechan una función de plantilla remota de Microsoft Office para recuperar un archivo HTML armado desde un servidor remoto. Una vez recuperado, el archivo HTML utiliza el URI ms-msdt MSProtocol para importar shellcode y ejecutar comandos de PowerShell.


Esta vulnerabilidad tiene similitudes con CVE-2021-40444 , ya que ambos manipulan cómo se carga el código HTML o Javascript a través de un enlace externo. Sin embargo, Follina es significativamente menos complejo de aprovechar y contiene menos dependencias.


Cómo CrowdStrike Falcon protege a los clientes de Follina


La plataforma CrowdStrike Falcon adopta un enfoque de defensa en profundidad para proteger a los clientes mediante el empleo de aprendizaje automático (ML) y IOA basados ​​en el comportamiento. La plataforma Falcon utiliza la telemetría entrante para impulsar sus detecciones y proporcionar mitigación de amenazas en tiempo real para los clientes.

El equipo de respuesta rápida de CrowdStrike pudo mejorar la cobertura existente de inmediato a través de la búsqueda proactiva de amenazas combinada con la investigación de malware y exploits . Tan pronto como el contenido crítico está disponible, la plataforma Falcon envía actualizaciones en tiempo real a todos los clientes sin tener que actualizar o actualizar el sensor.


El sensor Falcon tiene una lógica de detección y prevención que aborda la explotación de esta vulnerabilidad. Con el "Bloqueo de procesos sospechosos" habilitado, Falcon bloqueará los intentos de ejecución de código de msdt.exe. Incluso sin el "Bloqueo de procesos sospechosos" habilitado, Falcon generará una detección en la consola de Falcon.


Escenario de prevención de ataques de phishing de Follina

Un atacante puede enviar un documento de Microsoft Office o RTF creado con fines malintencionados por correo electrónico para invocar la ejecución remota de código cuando se ejecuta. CrowdStrike Falcon tiene capacidades de prevención y detección que pueden cerrar inmediatamente intentos de ataque como estos.


Follina PowerShell (wget) Escenario de prevención de ataques

Como se informó , un atacante puede aprovechar las técnicas que no son de documentos, como una solicitud de wget de PowerShell a un dominio controlado por el atacante, para recuperar una carga HTML para acciones adicionales en los objetivos a través de la ejecución remota de código. Nuevamente, la plataforma Falcon previene y detecta automáticamente este escenario de ataque utilizando IOA basados ​​en el comportamiento.




Falcon Spotlight arroja luz sobre puntos finales vulnerables


Las organizaciones que buscan obtener visibilidad adicional de los puntos finales vulnerables a Follina ( CVE-2022-30190 ) pueden recurrir al módulo CrowdStrike Falcon Spotlight™ de la plataforma Falcon para una gestión de vulnerabilidades automatizada siempre activa. Falcon Spotlight, junto con la investigación y el análisis del equipo de inteligencia sobre amenazas de CrowdStrike, ofrece información valiosa que permite a los clientes crear una postura de seguridad defendible.


Los clientes de Falcon Spotlight tienen acceso a un panel de amenazas de tendencias que brinda información sobre la vulnerabilidad para ayudarlos a rastrear su exposición y el progreso de la remediación.



Nota: Hay información técnica y de inteligencia más detallada sobre Follina ( CVE-2022-30190 ) disponible para los clientes de CrowdStrike a través de la consola Falcon y el portal de soporte .




15 visualizaciones0 comentarios

Entradas Recientes

Ver todo