Folline, jetzt bekannt als CVE-2022-30190 (Minderung ist ebenfalls möglich), ist der Name eines neuen Zero-Day in Microsoft Office, die für Angriffe zur Ausführung willkürlichen Codes genutzt werden könnten.
Die Schwachstelle wurde vom nao_sec-Forschungsteam entdeckt, nach der Entdeckung eines Word-Dokuments, das von einer belarussischen IP-Adresse auf VirusTotal hochgeladen wurde. Die Forscher posteten eine Reihe von Tweets Einzelheiten zu ihrer Entdeckung. Die Schwachstelle nutzt den externen Link von Microsoft Word, um den HTML-Code zu laden, und verwendet dann die Datei „ms-msdt’ Schema zum Ausführen von PowerShell-Code.
Es ist bemerkenswert, dass das Problem erstmals im April von Microsoft als nicht sicherheitsrelevante Schwachstelle beschrieben wurde, nachdem ein Sicherheitsforscher der Shadow Chaser Group berichtet hatte, einen öffentlichen Exploit beobachtet zu haben. Trotz des Eingeständnisses, dass das Problem in freier Wildbahn aktiv ausgenutzt wurde, Microsoft hat es nicht als Zero-Day bezeichnet.
Follina Zero-Day-Schwachstelle: Einzelheiten
Die Schwachstelle wurde vom bekannten Cybersicherheitsforscher Kevin Beaumont „Follina“ genannt. „Das Dokument verwendet die Word-Remote-Vorlagenfunktion, um eine HTML-Datei von einem Remote-Webserver abzurufen, die wiederum das MSProtocol-URI-Schema ms-msdt verwendet, um Code zu laden und PowerShell auszuführen,“, so seine Analyse.
„Hier ist viel los, Das erste Problem ist jedoch, dass Microsoft Word den Code über msdt ausführt (ein Support-Tool) Auch wenn Makros deaktiviert sind. Protected View tritt ein, obwohl, wenn Sie das Dokument in RTF-Form ändern, es läuft, ohne das Dokument überhaupt zu öffnen (über die Vorschau-Registerkarte im Explorer) geschweige denn geschützte Ansicht,“, fügte Beaumont hinzu.
Kurz gesagt, Der Zero-Day ermöglicht die Codeausführung in einer Reihe von Microsoft-Produkten, die in verschiedenen Angriffsszenarien ausgenutzt werden können. Weiter, Die Schwachstelle „durchbricht die Grenze der Deaktivierung von Makros,“, wobei die Anbietererkennung sehr schlecht ist.
Der Forscher testete den Zero-Day auf verschiedenen Maschinen, und es funktioniert in vielen Fällen. Beispielsweise, Die Schwachstelle funktioniert unter Windows 10 ohne lokaler Administrator zu sein und mit deaktivierten Makros, und mit Defender an Ort und Stelle. Jedoch, tut es nicht;funktioniert nicht mit Insider und aktuellen Versionen von Microsoft Office, Das bedeutet, dass das Unternehmen möglicherweise etwas getan hat, um die Schwachstelle zu härten oder zu beheben, ohne sie öffentlich zu erwähnen, sagte Beaumont, was im Mai passiert sein könnte 2022.
„Eine andere durchaus mögliche Option ist, dass ich zu dumm bin, um sie in diesen Versionen auszunutzen, und ich habe gerade etwas durcheinander gebracht," er fügte hinzu. Es sollte erwähnt werden, dass der Fehler in Office vorhanden ist 2013 und 2016. Viele Unternehmen können ausgesetzt sein, da es für Unternehmen typisch ist, ältere Kanäle von Office zu verwenden 365 und ProPlus.
“Microsoft wird es über alle verschiedenen Produktangebote hinweg patchen müssen, und Sicherheitsanbieter benötigen eine robuste Erkennung und Blockierung,” Der Forscher abgeschlossen.