Ieri abbiamo segnalato l'emergere di un nuovo zero-day che interessa Microsoft Office e altri prodotti Microsoft, soprannominato Follina dal ricercatore Kevin Beaumont. Il problema esiste in tutte le versioni di Windows attualmente supportate, e può essere sfruttato tramite le versioni di Microsoft Office 2013 all'Ufficio 2019, Ufficio 2021, Ufficio 365, e Office Pro Plus.
La vulnerabilità è stata scoperta dal team di ricerca di nao_sec, in seguito alla scoperta di un documento Word caricato su VirusTotal da un indirizzo IP bielorusso. I ricercatori hanno pubblicato una serie di tweet che descrivono in dettaglio la loro scoperta. Il difetto sfrutta il collegamento esterno di Microsoft Word per caricare l'HTML e quindi utilizza lo schema "ms-msdt" per eseguire il codice PowerShell.
La vulnerabilità di Follina è ora dotata di un identificatore CVE
Microsoft ha appena condiviso tecniche di mitigazione contro Follina, a cui ora è assegnato l'identificatore CVE-2022-30190. La vulnerabilità è un problema di esecuzione di codice in modalità remota che interessa lo strumento di diagnostica del supporto di Microsoft Windows (MSDT). Poco detto, lo zero-day consente l'esecuzione di codice in una gamma di prodotti Microsoft, che può essere sfruttato in vari scenari di attacco. Inoltre, la vulnerabilità “rompe il confine di avere le macro disabilitate,” con il rilevamento del fornitore molto scarso.
Secondo la Microsoft blog appena pubblicato, CVE-2022-30190 viene attivato quando MSDT viene chiamato utilizzando il protocollo URL da un'applicazione chiamante:
Esiste una vulnerabilità legata all'esecuzione di codice in modalità remota quando MSDT viene chiamato utilizzando il protocollo URL da un'applicazione chiamante come Word. Un utente malintenzionato che sfrutti con successo questa vulnerabilità può eseguire codice arbitrario con i privilegi dell'applicazione chiamante. L'attaccante può quindi installare i programmi, vista, modificare, o cancellare i dati, oppure creare nuovi account nel contesto consentito dai diritti dell'utente.
Come può essere mitigato CVE-2022-30190?
“La disabilitazione del protocollo URL MSDT impedisce che gli strumenti di risoluzione dei problemi vengano avviati come collegamenti, inclusi collegamenti in tutto il sistema operativo,”, Ha detto Microsoft. Puoi comunque accedere agli strumenti per la risoluzione dei problemi utilizzando l'applicazione Ottieni assistenza, così come nelle impostazioni di sistema. I passaggi da intraprendere per mitigare la vulnerabilità sono i seguenti:
1.Esegui il prompt dei comandi come amministratore.
2.Per eseguire il backup della chiave di registro, eseguire il comando "reg export HKEY_CLASSES_ROOTms-msdt nomefile"
3.Esegui il comando "reg delete HKEY_CLASSES_ROOTms-msdt /f".
Aggiorneremo questo articolo quando verranno visualizzate nuove informazioni su CVE-2022-30190.