Detección de Vulnerabilidad Follina: Nuevo Día Cero de Microsoft Office Explotado en el Entorno
Tabla de contenidos:
Los investigadores en ciberseguridad ponen el foco en una nueva vulnerabilidad de día cero en Microsoft Office vista en el entorno salvaje. El 27 de mayo, la falla de día cero Follina fue documentada por primera vez y reportada como enviada desde Bielorrusia. Según la investigación, la vulnerabilidad de día cero recién descubierta en Microsoft Office puede llevar a la ejecución de código arbitrario en dispositivos con Windows comprometidos.
Detectar intentos de explotación de la vulnerabilidad Follina
Para permitir que los profesionales de ciberseguridad detecten intentos de explotación del día cero de Follina, el equipo de SOC Prime ha lanzado un conjunto de reglas Sigma dedicadas disponibles en la plataforma Detection as Code y etiquetadas en consecuencia. Para acceder a este kit de reglas, asegúrese de iniciar sesión en la plataforma de SOC Prime con sus credenciales existentes o cree una cuenta:
Todas las detecciones son compatibles con múltiples soluciones de seguridad respaldadas por la plataforma de SOC Prime y están alineadas con el marco MITRE ATT&CK® para mejorar la visibilidad de las amenazas abordando la táctica de evasión de defensas con la inyección de plantillas (T1221) como su técnica principal.
Los equipos también pueden aprovechar otra regla Sigma que puede ayudar adicionalmente a identificar los rastros de este último ciberataque relacionado con la explotación de la vulnerabilidad Follina:
La regla Sigma mencionada anteriormente puede usarse en 23 soluciones SIEM, EDR y XDR y aborda la técnica de ejecución de binarios firmados por proxy (T1218) del arsenal de táctica de evasión de defensas basada en el marco MITRE ATT&CK.
Haga clic en el Ver Detecciones botón para acceder a la colección integral de algoritmos de detección que permite a los equipos mantenerse continuamente al tanto de las amenazas emergentes. Investigadores en ciberseguridad y Cazadores de Amenazas que buscan nuevas formas de mejorar sus habilidades profesionales mientras contribuyen a la experiencia colaborativa son bienvenidos a unirse a las filas de nuestro Programa de Recompensas de Amenazas. Al unirse a esta iniciativa de crowdsourcing, los profesionales de ciberseguridad tienen la oportunidad de monetizar su contenido de detección mientras contribuyen a una defensa cibernética a prueba de futuro.
Ver Detecciones Únase al Programa de Recompensas de Amenazas
Análisis de la Vulnerabilidad Follina
Justo después de la vulnerabilidad crítica RCE en Microsoft SharePoint Server rastreada como CVE-2022-29108, otro fallo que compromete los productos de Microsoft llega al primer plano. La nueva vulnerabilidad de día cero de Microsoft Office llamada Follina surge en el ámbito de las amenazas cibernéticas cuando el equipo de investigación en ciberseguridad japonés nao_sec detectó un archivo malicioso de Word subido a VirusTotal desde la dirección IP bielorrusa. Este documento de Word desencadena una cadena de infección cargando un archivo HTML desde una plantilla remota y posteriormente lleva a la ejecución de código malicioso de PowerShell para infectar el sistema.
Lo que agrava el problema es que Microsoft Word ejecuta el código malicioso a través de la herramienta de diagnóstico de soporte de Microsoft incluso con las macros desactivadas. Además, Microsoft Defender para Endpoint no ha podido detectar la falla según la investigación de Kevin Beaumont quien dio nombre a esta nueva vulnerabilidad de ejecución de código en Microsoft Office. El bug afecta a varias versiones de Office, como la de 2013 y 2016, incluida la versión parcheada de 2021 y otras que podrían estar potencialmente comprometidas. Para responder rápidamente a una amenaza, los defensores cibernéticos están publicando muestras de código POC de la vulnerabilidad Follina que ayudan a identificar la exposición y ya están disponibles públicamente, por ejemplo, en GitHub.
Dado que la vulnerabilidad no está parcheada y se explota en el entorno salvaje, se necesita acción inmediata por parte de los proveedores de seguridad. Como una de las medidas recomendadas de mitigación de la vulnerabilidad Follina, se recomienda a los usuarios de Office aplicar los esquemas de URI del MS Protocol en correos electrónicos de Outlook.
Los líderes de seguridad progresiva están constantemente buscando soluciones a prueba de futuro y rentables para acelerar las capacidades de defensa cibernética y aumentar la postura de ciberseguridad de la organización. Aprovechar la plataforma Detection as Code de SOC Prime ayuda a los equipos a extraer más valor de sus inversiones en SIEM y XDR y aumenta significativamente la efectividad de la ciberseguridad.
