Site icon Sophos News

Otro día cero (más o menos) en la “URL de búsqueda” de Windows

Justo cuando nos estábamos recuperando de la vulnerabilidad extrañamente llamada Follina, aparece otro agujero de seguridad día cero en Windows.

Más o menos.

No estamos convencidos que éste sea tan dramático o tan peligroso como algunos titulares parecen sugerir (por eso hemos añadido cuidadosamente en el titular las palabras “más o menos”), pero no nos sorprende que los investigadores estén buscando actualmente nuevas formas de abusar de los muchos tipos de URL propietarias de Windows.

Esquemas de URL revisados

Recapitulando. El fallo Follina, ahora más conocido como CVE-2022-30190, depende de una extraña URL no estándar soportada por el sistema operativo Windows.

En términos generales, la mayoría de las URL están estructuradas de manera que indican a dónde ir, cómo llegar y qué pedir cuando se llegue.

Por ejemplo, la URL:

https://example.com/ask/forthis.item

Dice: “Usa el esquema llamado https: para conectarte a un servidor llamado ejemplo.com y luego solicita un archivo llamado /ask/forthis.item”.

Del mismo modo, la URL:

file:///Users/duck/thisone.txt

Dice: “Busca un archivo en el ordenador local llamado thisone.txt en el directorio /Users/duck”.

Y la URL:

ldap://192.169.1.79:8888/Runthis

Dice: “Haz una búsqueda LDAP a través del puerto TCP 8888 al servidor 192.168.1.79, y busca un objeto llamado Runthis”.

Pero Windows incluye una larga lista de esquemas de URL propietarios (las letras hasta el primer carácter de dos puntos), también conocidos como controladores de protocolo, que pueden utilizarse para desencadenar una serie de actividades no estándar simplemente haciendo referencia a la URL especial.

El fallo Follina, por ejemplo, se aprovechó del esquema de URL ms-msdt:, que se refiere a los diagnósticos del sistema.

Documento Word malicioso aprovecha una vulnerabilidad desconocida de Microsoft Office

El esquema de ms-msdt:, que suponemos tenía sentido en el momento en que se implementó aunque ahora parezca una temeridad, dice: “Ejecutar la Herramienta de Diagnóstico de Soporte de Microsoft”, un programa llamado MSDT.EXE que está destinado a guiarte a través de una serie de pasos básicos para tratas de solucionar el que una aplicación se comporta incorrectamente.

Pero un grupo de ciberdelincuentes descubrió que se puede abusar del manejador de protocolo ms-msdt: mediante una URL incrustada dentro de un documento o correo electrónico abierto por Outlook u Office.

Con una URL ms-msdt: maliciosa, los atacantes no sólo pueden lanzar silenciosamente la aplicación MSDT.EXE en tu ordenador, sino también alimentarlo con un montón de código de script PowerShell malicioso para obligarte a ejecutar el malware de su elección.

En lugar de ayudarte a solucionar los problemas de tu ordenador, los delincuentes explotan MSDT para infectarlo.

Las URL de las que nunca has oído hablar

Resulta que ms-msdt: no es el único esquema de URL extraño y maravilloso específico de Windows que ha ideado Microsoft.

Hay numerosos esquemas de URL “de ayuda”, estándar y no estándar, conectados a los controladores de protocolo a través de entradas en el registro de Windows.

Estas claves del registro significan que se deben desencadenar acciones especiales cuando alguien intenta acceder a las URLs relevantes.

Por ejemplo, como sabes por experiencia, el acceso a una URL https: suele disparar tu navegador, si es que no se está ejecutando ya.

Y, como explicamos anteriormente, visitar una URL ms-msdt: dispara MSDT.EXE, aunque sospechamos que muy poca gente lo sabía antes del comienzo de esta semana. (Nosotros no lo sabíamos: nunca habíamos utilizado ni visto una URL de ese tipo antes de que saliera la historia de Follina).

Pues bien, un investigador de ciberseguridad conocido como @hackerfantastic ha descubierto un esquema de URL de Windows llamado search-ms: que podría, al igual que ms-msdt:, ser utilizado indebidamente por los ciberdelincuentes.

Como ya hemos dicho, no estamos muy convencidos  que esto se sitúe en el territorio de lo que llamaríamos “exploits de día cero”, porque no conduce directamente a la ejecución remota de código inesperado pero aceptamos que está cerca, y que es posible que quieras bloquear esta URL especial para que no funcione.

El truco de la “URL de búsqueda”

En pocas palabras, una URL search-ms: realizará una búsqueda en Windows de forma automática, como si tú mismo hubieras hecho clic en la lupa de la barra de tareas, hubieras introducido un texto de tu elección y hubieras esperado el resultado.

Y al incrustar este tipo de URL en un documento, como un archivo DOC o RTF, de la misma manera que el truco de Follina, un atacante puede atraer al usuario para que abra un documento y, a continuación, hacer aparecer automáticamente una lista de resultados de búsqueda de aspecto oficial en asociación con él:

Los atacantes que incrustan la URL especial en el documento trampa pueden elegir, de antemano, lo que aparece en el título de la barra de búsqueda, y qué archivos mostrar.

Los archivos que aparecen no tienen que ser archivos almacenados localmente como C:\sers\duck\mypreso.ppt, sino que pueden ser archivos remotos (rutas UNC) como \live.sysinternals.com\psshutdown.exe o \example.org\dgy.exe.

Por supuesto, esto no lanza automáticamente los archivos maliciosos, por lo que sólo lo consideramos una “especie de” día cero.

Todavía hay que elegir uno de los archivos, hacer doble clic para ejecutarlo y reaccionar ante una advertencia de seguridad, como se ve en el vídeo de Twitter de antes.

Sin embargo, este truco te pone en peligro de forma mucho más creíble que un señuelo de correo electrónico de la vieja escuela con enlaces web de aspecto sospechoso.

La ventana que aparece no es un navegador ni un cliente de correo electrónico.

En su lugar, parece lo que verías si hicieras una búsqueda normal en tu ordenador local, y no contiene nada que se parezca a un enlace web tradicional.

¿Qué hacer?

Exit mobile version