Follina, nu bekend als CVE-2022-30190 (mitigatie is ook beschikbaar), is de naam van een nieuwe zero-day in Microsoft Office die kunnen worden gebruikt bij aanvallen met willekeurige code-uitvoering.
De kwetsbaarheid is ontdekt door het onderzoeksteam van nao_sec, na de ontdekking van een Word-document dat is geüpload naar VirusTotal vanaf een Wit-Russisch IP-adres. De onderzoekers plaatsten een serie tweets detaillering van hun ontdekking. De kwetsbaarheid maakt gebruik van de externe link van Microsoft Word om de HTML te laden en gebruikt vervolgens de 'ms-msdt'’ schema om PowerShell-code uit te voeren.
Het is opmerkelijk dat het probleem in april voor het eerst door Microsoft werd beschreven als een niet-beveiligingskwetsbaarheid, nadat een beveiligingsonderzoeker bij Shadow Chaser Group een openbare exploit had waargenomen. Ondanks toe te geven dat het probleem actief werd uitgebuit in het wild, Microsoft beschreef het niet als een zero-day.
Follina Zero-Day-kwetsbaarheid: Details
De kwetsbaarheid werd door de bekende cybersecurity-onderzoeker Kevin Beaumont "Follina" genoemd. “Het document gebruikt de externe sjabloonfunctie van Word om een HTML-bestand op te halen van een externe webserver, die op zijn beurt het ms-msdt MSProtocol URI-schema gebruikt om wat code te laden en wat PowerShell uit te voeren,"volgens zijn analyse".
"Er gebeurt hier veel", maar het eerste probleem is dat Microsoft Word de code uitvoert via msdt (een ondersteuningstool) zelfs als macro's zijn uitgeschakeld. Protected View werkt wel, hoewel als u het document in RTF-vorm verandert, het werkt zonder het document zelfs maar te openen (via het voorbeeldtabblad in Verkenner) laat staan beveiligde weergave,” heeft Beaumont toegevoegd.
Kort gezegd, de zero-day maakt uitvoering van code mogelijk in een reeks Microsoft-producten, die kan worden misbruikt in verschillende aanvalsscenario's. Bovendien, de kwetsbaarheid "doorbreekt de grens van het uitschakelen van macro's",” waarbij de detectie van leveranciers erg slecht is.
De onderzoeker testte de zero-day op verschillende machines, en het werkt in veel van de gevallen. Bijvoorbeeld, de kwetsbaarheid werkt op Windows 10 zonder lokale beheerder te zijn en met uitgeschakelde macro's, en met Defender op zijn plaats. Echter, het doet er niet toe;t werken aan Insider en huidige versies van Microsoft Office, wat betekent dat het bedrijf mogelijk iets heeft gedaan om de kwetsbaarheid te versterken of op te lossen zonder het publiekelijk te vermelden, Beaumont zei:, wat misschien in mei is gebeurd 2022.
"Een andere heel mogelijke optie is dat ik te idioot ben om het op die versies te exploiteren, en ik heb net iets verprutst," hij voegde toe. Er moet worden vermeld dat de fout bestaat in Office 2013 en 2016. Veel bedrijven kunnen worden blootgesteld, aangezien het gebruikelijk is voor bedrijven om oudere Office-kanalen te gebruiken 365 en ProPlus.
“Microsoft zal het moeten patchen voor alle verschillende productaanbiedingen, en beveiligingsleveranciers hebben robuuste detectie en blokkering nodig,” de onderzoeker gesloten.
Milena Dimitrova
Een bevlogen schrijver en contentmanager die sinds de start van het project bij SensorsTechForum werkt. Een professional met 10+ jarenlange ervaring in het creëren van boeiende inhoud. Gericht op de privacy van gebruikers en malware ontwikkeling, ze gelooft sterk in een wereld waar cybersecurity speelt een centrale rol. Als het gezond verstand heeft geen zin, ze zullen er zijn om aantekeningen te maken. Deze toelichtingen kunnen later om te zetten in artikelen! Volg Milena @Milenyim
Volg mij: