Follina, agora conhecido como CVE-2022-30190 (mitigação também está disponível), é o nome de um novo zero-day no Microsoft Office que poderia ser aproveitado em ataques de execução de código arbitrário.
A vulnerabilidade foi descoberta pela equipe de pesquisa nao_sec, após a descoberta de um documento do Word carregado no VirusTotal de um endereço IP da Bielorrússia. Os pesquisadores postaram uma série de tweets detalhando sua descoberta. A vulnerabilidade aproveita o link externo do Microsoft Word para carregar o HTML e, em seguida, usa o 'ms-msdt’ esquema para executar o código do PowerShell.
Vale ressaltar que o problema foi descrito pela primeira vez pela Microsoft em abril como uma vulnerabilidade não relacionada à segurança, depois que um pesquisador de segurança do Shadow Chaser Group relatou ter observado uma exploração pública. Apesar de admitir que a questão foi ativamente explorada na natureza, A Microsoft não o descreveu como um dia zero.
Vulnerabilidade de dia zero do Follina: detalhes
A vulnerabilidade foi apelidada de “Follina” pelo conhecido pesquisador de segurança cibernética Kevin Beaumont. “O documento usa o recurso de modelo remoto do Word para recuperar um arquivo HTML de um servidor web remoto, que por sua vez usa o esquema de URI ms-msdt MSProtocol para carregar algum código e executar algum PowerShell,” de acordo com sua análise.
“Tem muita coisa acontecendo aqui, mas o primeiro problema é que o Microsoft Word está executando o código via msdt (uma ferramenta de apoio) mesmo se as macros estiverem desabilitadas. O Modo de Exibição Protegido entra em ação, embora se você alterar o documento para o formato RTF, ele roda sem nem abrir o documento (através da guia de visualização no Explorer) muito menos Vista Protegida,” acrescentou Beaumont.
disse brevemente, o dia zero permite a execução de código em uma variedade de produtos da Microsoft, que pode ser explorado em vários cenários de ataque. além disso, a vulnerabilidade “rompe o limite de ter macros desabilitadas,” com a detecção do fornecedor sendo muito ruim.
O pesquisador testou o dia zero em várias máquinas, e funciona em muitos dos casos. Por exemplo, a vulnerabilidade funciona no Windows 10 sem ser administrador local e com macros desabilitadas, e com o Defensor no lugar. Contudo, isso não;t trabalhar no Insider e nas versões atuais do Microsoft Office, o que significa que a empresa pode ter feito algo para fortalecer ou corrigir a vulnerabilidade sem mencioná-la publicamente, Beaumont disse, que pode ter acontecido em maio 2022.
“Outra opção totalmente possível é que sou muito idiota para explorá-la nessas versões, e eu acabei de estragar alguma coisa," ele adicionou. Deve-se mencionar que a falha existe no Office 2013 e 2016. Muitas empresas podem estar expostas, como é comum as empresas usarem canais mais antigos do Office 365 e ProPlus.
“A Microsoft precisará corrigi-lo em todas as diferentes ofertas de produtos, e fornecedores de segurança precisarão de detecção e bloqueio robustos,” o pesquisador concluiu.
Milena Dimitrova
Um escritor inspirado e gerente de conteúdo que está com SensorsTechForum desde o início do projeto. Um profissional com 10+ anos de experiência na criação de conteúdo envolvente. Focada na privacidade do usuário e desenvolvimento de malware, ela acredita fortemente em um mundo onde a segurança cibernética desempenha um papel central. Se o senso comum não faz sentido, ela vai estar lá para tomar notas. Essas notas podem mais tarde se transformar em artigos! Siga Milena @Milenyim
Me siga: