Vulnerabilidad en MS Word permite el robo de bitcoins

[DdmrDdmr]

¿Riesgo real o exageración?

Es una mezcla de ambos por lo visto. La vulnerabilidad detectada en MS Word, denominada "follina" (manda webs …), ha sido alertada por parte de la empresa de seguridad Wallet Guard.

La vulnerabilidad se ha tipificado como crítica (0-day vulnerability) por parte de Wallet Guard (aunque no por parte de Microsoft), dado que permite a un hacker tomar el control remoto de tu ordenador con tan solo descargar un .doc, .docx, o .rtf. No hace falta ni abrir el documento, dado que si se ha creado con fines maliciosos, es capaz de aprovechar las funcionalidades de las plantillas de Word para ejecutar archivos html y java externos.

Pero el paso que temen es que puedan usar lo anterior para lanzar MSDT (Microsoft Support Diagnostic Tool), el cual permite el acceso remoto. El MSDT requiere que entres la contraseña de tu cuenta, pero parece tener a su vez un fallo que permitiría a un hacker saltarse la petición de contraseña.

Microsoft parece quitarle hierro a esta posibilidad de explotar la combinación de vulnerabilidades, pero explica cómo deshabilitar el MSDT:

1.   Run Command Prompt as Administrator.
2.   To back up the registry key, execute the command “reg export HKEY_CLASSES_ROOT\ms-msdt filename“
3.   Execute the command “reg delete HKEY_CLASSES_ROOT\ms-msdt /f”.

Y ahora es cuando Criptonoticias enlaza la noticia anterior con un potencial robo de bitcoins, aunque no se conozca por ahora un uso activo de la vulnerabilidad por parte de hacers, y menos aún hay reportes al respecto desde el ámbito de las criptomonedas. Ahora, la posibilidad está … (yo por si acaso, ya he ejecutado las directrices anteriores).

Ver: https://www.criptonoticias.com/seguridad-bitcoin/vulnerabilidad-microsoft-word-permitiria-robo-bitcoins/
https://twitter.com/wallet_guard/status/1531848479911432192
https://msrc-blog.microsoft.com/2022/05/30/guidance-for-cve-2022-30190-microsoft-support-diagnostic-tool-vulnerability/

[Hispo]

Gracias por la alerta. Es curioso como han existido varios antecedentes de robo de fondos relacionados con la descarga ilegal de software de microsoft.

Parece que la tendencia de estos incidentes relacionados de una u otra forma con Microsoft no se detendrán por un tiempo, o por lo menos esa es la impresión que tengo.

[DdmrDdmr]

Por si alguien quiere echarle 20 minutos de su tiempo para ver un video al respecto, en mi hilo en inglés publicaron un enlace a uno que merece la pena ver:
https://www.youtube.com/watch?v=3ytqP1QvhUc&t=116s

Lo anterior refleja un caso de uso de cómo poder hacer un uso de las citadas vulnerabilidades, pero la misma metodología puede servir para robar tus documentos, encriptarte el disco, borrar tus datos, etc.

[seoincorporation]

Hay que tener cuidado con MS Word i también con MS Excel, ya que para excel existe diferentes Macros utilizadas para ganar acceso al equipo de la víctima. Lo peor de todo es que en el caso de Excel no se trata de un exploit que detecte el Antivirus ya que el sistema lo detecta como una Macros haciendo sus funciones.

Cabe aclarar que este es el método mas utilizado para contra atacar a los Scammers ya que es simple tener en nuestro escritorio un archivo con el nombre 'Bitcoin Private Keys' y podemos estar seguros de que el scammer lo descargará y abrirá en su equipo.

[DdmrDdmr]

<…>

Lo malo de este exploit en concreto … es que no se basa en macros. Lo de las macros más o menos le puede sonar a la gente, si bien habrán muchos que harán caso omiso. Este caso, no obstante, es más grave en tanto en cuanto que se aprovecha de otros mecanismos, combinando funcionalidades de plantillas y procesos de soporte que, a buen seguro, muchos desconocíamos que estaban en el sistema con capacidad de dar acceso remoto (MSTD).

Eso sí, sabiendo que hay diversas argucias para hacerse con nuestro entorno, sean relativos a claves de criptomonedas o no, hay que tener las antenas puestas constantemente, y si puede ser, no almacenar información ultrasensible en "caliente", por si acaso.