Red de conocimiento informático - Conocimiento del nombre de dominio - La vulnerabilidad de día cero de Microsoft puede ejecutar código arbitrario. Cubra su billetera criptográfica.

La vulnerabilidad de día cero de Microsoft puede ejecutar código arbitrario. Cubra su billetera criptográfica.

Recientemente se descubrió en Microsoft Office una vulnerabilidad de día cero llamada Follina (número CVE-2022-30190). Un atacante puede utilizar la herramienta de diagnóstico de soporte técnico (MSDT) de Microsoft para recuperar y ejecutar código malicioso desde una URL remota. Los paquetes y productos de Microsoft Office que utilizan MSDT aún pueden verse afectados por esta vulnerabilidad de día cero.

Microsoft escribió en su anuncio: Al llamar a MSDT desde una aplicación de llamada como Word utilizando el protocolo URL, existe una vulnerabilidad de ejecución remota de código. Un atacante que aprovechara con éxito esta vulnerabilidad podría ejecutar código arbitrario con los privilegios de la aplicación que realiza la llamada. Luego, el atacante podría instalar programas, ver, cambiar o eliminar datos, o crear nuevas cuentas en un contexto donde los permisos del usuario lo permitan.

Debido a que esta vulnerabilidad permite a los atacantes eludir la protección con contraseña para instalar archivos de forma remota o ver, cambiar y eliminar datos, también se la conoce como "tecnología de ejecución remota de código sin hacer clic". En resumen, un atacante puede ejecutar código malicioso de forma remota en un sistema de destino enviando un archivo de Microsoft Word, con los permisos del usuario que lo ejecuta, para ejecutar código malicioso en el momento en que abre el archivo o lo ve en la vista previa.

De esta manera, los piratas informáticos pueden ver y obtener el sistema y la información personal de la víctima. Esta vulnerabilidad de día cero permite a los piratas informáticos explotar aún más los privilegios del pirata informático en el sistema de la víctima y obtener acceso adicional al sistema local y a los procesos en ejecución, incluido el navegador de Internet del usuario objetivo y los complementos del navegador como Metamask, una herramienta utilizada para almacenar software. billetera para fondos criptográficos.

Vulnerabilidades como esta ilustran la importancia de que los usuarios utilicen carteras de hardware (como Ledger, Trezor, etc.) para almacenar claves privadas fuera de línea, ya que pueden separar las claves privadas del sistema atacado. Descuidar el uso de carteras de hardware es una de las principales razones por las que las vulnerabilidades de día cero conducen al robo de fondos en criptomonedas.

Se puede decir que este tipo de vulnerabilidad es muy "popular" en el mundo Web3 y provoca pérdidas por millones de dólares cada mes. Ataques similares han afectado a la comunidad Web3 y esta vulnerabilidad es más grave que la vulnerabilidad del clic 0. Por ejemplo, el hack de Arthur_0x que ocurrió el 22 de marzo de 2022 resultó en la pérdida de más de 1,6 millones de dólares en NFT y criptomonedas. Utilizó una técnica de ataque de phishing dirigida: envió por correo electrónico un enlace que parecía un documento de Google (pero que en realidad era un archivo de Microsoft Word) para inyectar código malicioso en el sistema de la víctima. Otro ejemplo de un ataque de phishing dirigido ocurrió el 19 de febrero de 2022, cuando los comerciantes abrieron lo que creían que era un correo electrónico oficial de OpenSea sobre la migración, y se robaron ETH por valor de 1,7 millones de dólares, lo que provocó que el malware se colocara en sus billeteras a través de contratos maliciosos ocultos en enlaces disfrazados.

Los ataques de phishing son un método de ataque que permite a los atacantes obtener un alto valor y es relativamente sencillo de operar. A medida que los usuarios de Web3 pueden intercambiar activos de forma instantánea y directa, las campañas de phishing han aumentado. Especialmente los ataques relacionados con Telegram y Discord, todos los días aparecen enlaces maliciosos en servidores populares. A medida que Web3 se desarrolle, este tipo de ataques seguirán creciendo porque es de bajo costo y efectivo, y los atacantes pueden adaptar varias defensas para continuar con sus ataques.

Si actualmente utiliza Microsoft Office, el equipo de seguridad de CertiK recomienda seguir los pasos vinculados a continuación para proteger adecuadamente su dispositivo y su información personal. (Fuente: Guía para la vulnerabilidad de la herramienta de diagnóstico de soporte de Microsoft)

Algunos pasos para prevenir ataques:

Siga el principio de privilegio mínimo y asigne solo a los usuarios de Windows lo que necesitan para cumplir con sus responsabilidades. permisos. Esto, a su vez, limita los privilegios que un atacante puede heredar si un sistema se ve comprometido.

Al utilizar ASR de Microsoft Defender, active la regla que impide que todas las aplicaciones de Office creen procesos secundarios en modo de bloqueo.

Ejecute la regla en modo auditoría y supervise los resultados para garantizar que no haya ningún impacto adverso en los usuarios finales.

Elimine los tipos de archivos relacionados con ms-msdt para evitar que se ejecute malware.

上篇: Cómo configurar once cuadros de gráfico de tiempo compartido en la versión móvil de Xiangcai Securities 下篇: Pronóstico del tiempo en la cueva Guangde Taichi

Artículos populares