Follina, ora conosciuta come CVE-2022-30190 (è disponibile anche la mitigazione), è il nome di un nuovo zero-day in Microsoft Office che potrebbe essere sfruttato in attacchi di esecuzione di codice arbitrario.
La vulnerabilità è stata scoperta dal team di ricerca di nao_sec, in seguito alla scoperta di un documento Word caricato su VirusTotal da un indirizzo IP bielorusso. I ricercatori hanno pubblicato una serie di tweets dettagliare la loro scoperta. La vulnerabilità sfrutta il collegamento esterno di Microsoft Word per caricare l'HTML e quindi utilizza 'ms-msdt’ schema per eseguire il codice PowerShell.
È interessante notare che il problema è stato descritto per la prima volta da Microsoft ad aprile come una vulnerabilità non di sicurezza, dopo che un ricercatore di sicurezza con Shadow Chaser Group ha riferito di aver osservato un exploit pubblico. Nonostante abbia ammesso che il problema è stato attivamente sfruttato in natura, Microsoft non lo ha descritto come un giorno zero.
Vulnerabilità Zero Day di Follina: Dettagli
La vulnerabilità è stata soprannominata "Follina" dal noto ricercatore di sicurezza informatica Kevin Beaumont. “Il documento utilizza la funzione di modello remoto di Word per recuperare un file HTML da un server web remoto, che a sua volta usa lo schema URI ms-msdt MSProtocol per caricare del codice ed eseguire un po' di PowerShell,” secondo la sua analisi.
“C'è molto da fare qui, ma il primo problema è che Microsoft Word sta eseguendo il codice tramite msdt (uno strumento di supporto) anche se le macro sono disabilitate. La vista protetta si attiva, anche se se modifichi il documento in un modulo RTF, funziona senza nemmeno aprire il documento (tramite la scheda di anteprima in Explorer) per non parlare della vista protetta,Beaumont ha aggiunto.
Poco detto, lo zero-day consente l'esecuzione di codice in una gamma di prodotti Microsoft, che può essere sfruttato in vari scenari di attacco. Inoltre, la vulnerabilità “rompe il confine di avere le macro disabilitate,” con il rilevamento del fornitore molto scarso.
Il ricercatore ha testato lo zero-day su varie macchine, e funziona in molti casi. Per esempio, la vulnerabilità funziona su Windows 10 senza essere amministratore locale e con macro disabilitate, e con Defender in atto. Tuttavia, non lo fa;Funziona su Insider e sulle versioni correnti di Microsoft Office, il che significa che l'azienda potrebbe aver fatto qualcosa per rafforzare o correggere la vulnerabilità senza menzionarlo pubblicamente, disse Beaumont, cosa che potrebbe essere accaduta a maggio 2022.
“Un'altra opzione del tutto possibile è che sono troppo idiota per sfruttarla su quelle versioni, e ho appena incasinato qualcosa," Ha aggiunto. Va menzionato che il difetto esiste in Office 2013 e 2016. Molte aziende potrebbero essere esposte, poiché è tipico per le aziende utilizzare i vecchi canali di Office 365 e ProPlus.
“Microsoft avrà bisogno di correggerlo in tutte le diverse offerte di prodotti, e i fornitori di sicurezza avranno bisogno di rilevamento e blocco robusti,” il ricercatore concluso.