El grupo de ciberseguridad Nao_sec ha indentificado en la suite de ofimática Microsoft Office una vulnerabilidad de día cero, con capacidad de actuar incluso si las macros están desactivadas, que permite la ejecución de código malicioso en un ordenador a partir de un documento de Word.
A esta vulnerabilidad la ha denominado el investigador Kevin Beaumont Follina por coincidir la referencia de la muestra analizada, 0438, con el código postal de la localidad italiana del mismo nombre.
A través de un archivo de Word especialmente diseñado, un ciberatacante puede aprovecharse de Follina para ejecutar comandos PowerShell con la herramienta Microsoft Diagnostic Tool (MSDT), que envía información sobre el estado del sistema.
Esta ejecución de código malicioso sortea la detección de Windows Defender y puede hacerse incluso si se han desactivado las macros, una serie de instrucciones que se agrupan en un comando para realizar una tarea de forma automática.
Beaumont explica en una entrada en su blog que el documento Word "usa la función de plantilla remota para recuperar un archivo HTML de un servidor remoto, que a su vez usa el esquema de URI ms-msdt MSProtocol para cargar código y ejecutar PowerShell". Esto, según señala, "no debería ser posible".
El impacto sobre el equipo del usuario es inmediato, nada más abrir el documento de Word. El ciberatacante tendría acceso al sistema, con capacidad para recopilar hashes de las contraseñas de las máquinas Windows.