Follina está en Italia, tiene 2.644 habitantes y está localizada a 60 kilómetros de distancia al noroeste de Venecia y a 35 kilómetros al noreste de Treviso. Es bonita, pintoresca y muy turística, y su código de área esl 0438, precisamente la misma cifra que el experto en ciberseguridad e investigador de amenazas del Reino Unido, Kevin Beaumont encontró un documento infectado relacionado con la vulnerabilidad CVE-2022-30190, que permite la explotación de la herramienta Microsoft Support Diagnostic Tool mediante los archivos de MS Office.
Beaumont pertenece a nao_sec, el equipo independiente de investigación de ciberseguridad; y el documento de word (“05-2022.0438.doc”) infectado de virus con el que dio nombre a la vulnerabilidad provenía de una IP localizada en Bielorrusia.
Follina se está haciendo muy famosa. De hecho, guarda relación con el espionaje del gobierno chino a la población uigur. Las intrusiones chinas están relacionadas con la explotación de Follina y también de CVE-2022-1040 , otro código remoto de ejecución que afecta a Sophos.
Visto lo visto, hay analistas de seguridad como Jennifer Gregory, que se plantean en medios como (securityintelligence.com) si no sería oportuno dejar de usar Office 365 e incluso microsoft word, la herramienta más sencilla del mundo de la informática, la que usa todo el mundo, ante la lógica preocupación de no propagar malware a sus clientes o contactos. Lo curioso es que habló con personas como ella, que entienden de ciberseguridad, y le aseguraron que también se lo habían planteado.
En el caso de un cambio a gran escala de proveedor, los ciberdelincuentes cambiarían de objetivo
El problema es si las otras alternativas son realmente seguras. Y llegó a la conclusión que la elección de usar Microsfot Office se reduce a una decisión que se debate entre el riesgo y el beneficio. Follina es una vulnerabilidad de día cero, lo cual implica que los defensores tienen cero días para encontrar una solución. Beaumont también encontró evidencia de que la vulnerabilidad existía en el otoño de 2021 y los atacantes la usaron en abril de 2022. Microsoft lanzó un parche el 14 de junio para corregirla. Pero el problema no estriba solo en Follina, en su artículo, la investigadora hacer referencia al malware Zykon y a un código malicioso difundido a través de documentos de Word disfrazado de documentos legales hallado recientemente por Microsoft. . En este caso, la vulnerabilidad era una en la que el documento podía usar un control ActiveX malicioso. El número de ataques (en este caso, menos de 10) fue bajo. Aún así es muy representativo del potencial de una sola vulnerabilidad en Microsoft.
No olvidemos los daños que puede provocar un ataque en una infraestructura crítica. También se plantea el uso de Microsoft 365, pero llega a una conclusión, es el más atacado y por ende vulnerable porque es el que más se usa. Hay herramientas alternativas, como Google Workspace y Apple iWork, que no gozan de tanto atractivo entre los piratas informáticos. En el caso de producirse un cambio a gran escala de proveedor, los ciberdelincuentes cambiarían de objetivo también.
El problema es que, normalmente al usar Google Drive ponemos todos los huevos en la misma cesta, desde Teams a Excel e incluso Google Photos. Pero la investigadora llega a esta conclusión: "Para muchas empresas que usan todos los productos de Microsoft, el cambio no sería fácil. Sus procesos y sistemas de archivos se centran en Office 365, incluidos otros productos como Teams y One Drive. Es muy probable que el esfuerzo que implica un cambio no valga la pena por el riesgo reducido, especialmente porque los productos de Google y Apple no tienen el mismo nivel de productividad y herramientas integradas que Microsoft" .