En pocos días, una vulnerabilidad dentro de Microsoft está adquiriendo fama internacional, poniendo en riesgo a usuarios de España y otros muchos países. Suele ocurrir que cuando se detecta una brecha y se denuncia, hasta que los responsables la solucionan, los hackers aprovechan para utilizarla en sus ataques. Esto es lo que está sucediendo con Follina, un fallo que permite hacerse con el control del ordenador a través de un documento Word.

Menos de una semana después de darse a conocer los detalles de esta nueva brecha de seguridad, un informe de la firma de seguridad Proofpoint afirma que ciberdelincuentes vinculados al gobierno chino están explotando la vulnerabilidad contra grupos tibetanos. Un fallo tan sencillo en los documentos Word es demasiado jugoso para dejarlo pasar, Microsoft Office lo usan millones de personas en todo el mundo.

Microsoft ha reconocido ahora la vulnerabilidad, aunque aún no cuenta con una solución para parchearla, pero da opciones para mitigar el impacto de un ataque a través de Follina. Sin embargo, algunos informes sugieren que la empresa conocía el problema hace tiempo y habría descartado arreglarlo por no considerarlo peligroso.

¿Cómo funciona Follina?

Esta vulnerabilidad empezó a adquirir notoriedad tras la publicación en Twitter del grupo de investigación Nao Sec del 27 de mayo. En él explicaban cómo era posible introducir un código malicioso a través de un documento Word. 

Un informe posterior del investigador Kevin Beaumont detallaba el proceso. El ataque es inmediato, en cuanto la víctima abre el documento, el hacker carga archivos HTML desde un servidor web remoto y ejecuta el código con comandos de Power Shell secuestrando la herramienta Microsoft Diagnostic Tool (MSDT), un programa que sirve para recopilar información sobre el estado del sistema y problemas con aplicaciones.

La propia compañía afirma en un blog que el atacante puede instalar programas, acceder, modificar y eliminar datos. Incluso se podrían crear nuevas cuentas de usuario dentro del sistema infectado. Los análisis sugieren que Follina afecta a Office 2013, 2016, 2019, 2021, Office ProPlus y Office 365.

Por el momento Microsoft no cuenta con un parche oficial para bloquear la vulnerabilidad. Sí ofrecen soluciones temporales para mitigar el impacto como desactivar de forma manual la función de carga de URL de la herramienta MSDT. Otros analistas aconsejan desactivar el panel de vista previa dentro de Windows Explorer, para no abrir el documento infectado por error.

Vulnerabilidad en uso

Mientras se espera una solución, los hackers pueden estar aprovechando esta oportunidad que les abre la puerta a un gran número de dispositivos. Así lo ha hecho el denominado TA413, un grupo de piratas informáticos vinculados con el gobierno chino.

Hacker

Según la investigación de Proofpoint, enviaban documentos Word maliciosos en nombre de la Administración Central Tibetana, el gobierno tibetano en el exilio con sede en Dharamsala, India. El ataque se habría dirigido a la comunidad de tibetanos exiliados.

Aunque Microsoft ha reaccionado rápido en la última semana para solucionar el problema y ya han dado ciertas indicaciones, The Register menciona un informe del 12 de abril que hace sospechar que la compañía ya conocía el fallo. 

También te puede interesar...

• Un chaval de 16 años, el líder del grupo de hackers que robó datos a Microsoft
• Estos hackers se hicieron pasar por policías para engañar a Apple y Meta y robar datos personales
• La Casa Blanca advierte: los hackers rusos se están preparando para nuevos ataques