Se ha reportado una nueva vulnerabilidad de día Cero (0-day) de Windows Search, abordada en el boletín informativo, que permitiría a un atacante configurar un recurso compartido remoto de Windows para alojar malware disfrazado de actualizaciones de seguridad y luego incluir el URI de search-ms en sus archivos adjuntos o correos electrónicos de phishing.
La vulnerabilidad identificada como CVE-2022-30190 de severidad alta, con una puntuación asignada de 8.8. Esta se debe una falla de un controlador URI incluido en Windows llamado ‘search-ms’. Un atacante podría aprovechar esta vulnerabilidad para configurar un recurso compartido remoto de Windows y utilizarlo para alojar malware disfrazado de actualizaciones de seguridad “críticas”, incluyendo el URI de search-ms en sus archivos adjuntos o correos electrónicos de phishing en los dispositivos destinados.
El producto afectado de Windows es:
- Microsoft Word, 2013 – 2021 (incluidas las versiones Professional Plus)
- Microsoft Office, 2013 – 2021 (incluidas las versiones Professional Plus)
Actualmente Microsoft no ha publicado parches para CVE-2022-30190, sin embargo, sugerimos seguir las siguientes instrucciones de mitigación para la vulnerabilidad:
- Ejecutar el símbolo del sistema como administrador.
- Realizar una backup de la clave del Registro, ejecutando el comando «reg export HKEY_CLASSES_ROOT\search-ms search-ms.reg».
- Eliminar la clave usando el comando «reg delete HKEY_CLASSES_ROOT\search-ms /f».
Referencias:
- https://www.bleepingcomputer.com/news/security/new-windows-search-zero-day-added-to-microsoft-protocol-nightmare/
- https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2022-30190
- https://cert.gov.py/noticias/vulnerabilidad-de-ejecucion-remota-de-codigo-rce-en-microsoft-office
- https://www.cert.gov.py/application/files/3616/5402/4603/BOL-CERT-PY-2022-24_Vulnerabilidad_de_ejecucion_remota_de_codigo_RCE_en_Microsoft_Office.pdf