Follina, nu kendt som CVE-2022-30190 (afbødning er også tilgængelig), er navnet på en ny zero-day i Microsoft Office, der kunne udnyttes i vilkårlige kodeeksekveringsangreb.
Sårbarheden blev afdækket af nao_sec-forskerholdet, efter opdagelsen af et Word-dokument, der er uploadet til VirusTotal fra en hviderussisk IP-adresse. Forskerne skrev en række tweets detaljer om deres opdagelse. Sårbarheden udnytter Microsoft Words eksterne link til at indlæse HTML og bruger derefter 'ms-msdt’ skema til at udføre PowerShell-kode.
Det er bemærkelsesværdigt, at problemet først blev beskrevet af Microsoft i april som en ikke-sikkerhedsmæssig sårbarhed, efter en sikkerhedsforsker med Shadow Chaser Group rapporterede at observere en offentlig udnyttelse. På trods af at han indrømmede, at problemet blev aktivt udnyttet i naturen, Microsoft beskrev det ikke som en nul-dag.
Follina Zero-Day sårbarhed: Detaljer
Sårbarheden blev døbt "Follina" af den kendte cybersikkerhedsforsker Kevin Beaumont. "Dokumentet bruger Word-fjernskabelonfunktionen til at hente en HTML-fil fra en ekstern webserver, som igen bruger ms-msdt MSProtocol URI-skemaet til at indlæse noget kode og udføre noget PowerShell,” ifølge hans analyse.
"Der sker meget her, men det første problem er, at Microsoft Word udfører koden via msdt (et støtteværktøj) selvom makroer er deaktiveret. Protected View slår ind, selvom du ændrer dokumentet til RTF-form, den kører uden selv at åbne dokumentet (via forhåndsvisningsfanen i Stifinder) endsige Beskyttet Udsigt,” tilføjede Beaumont.
Kort sagt, nul-dagen tillader kodeudførelse i en række Microsoft-produkter, som kan udnyttes i forskellige angrebsscenarier. Endvidere, sårbarheden "bryder grænsen for at have makroer deaktiveret,” med leverandørdetektion er meget dårlig.
Forskeren testede nuldagen på forskellige maskiner, og det virker i mange af tilfældene. For eksempel, sårbarheden virker på Windows 10 uden at være lokal administrator og med deaktiverede makroer, og med Defender på plads. Men, det gør det;t arbejde på Insider og aktuelle versioner af Microsoft Office, hvilket betyder, at virksomheden kan have gjort noget for at hærde eller rette op på sårbarheden uden at nævne det offentligt, sagde Beaumont, hvilket kan være sket i maj 2022.
"En anden helt mulig mulighed er, at jeg er for meget idiot til at udnytte det på de versioner, og jeg har lige rodet noget ud," han tilføjede. Det skal nævnes, at fejlen findes i Office 2013 og 2016. Mange virksomheder kan blive udsat, da det er typisk for virksomheder at bruge ældre Office-kanaler 365 og ProPlus.
“Microsoft bliver nødt til at lappe det på tværs af alle de forskellige produkttilbud, og sikkerhedsleverandører har brug for robust detektion og blokering,” forskeren indgået.