Una vulnerabilità zero-day ribattezzata Follina consentirebbe agli attaccanti di eseguire codice arbitrario sui sistemi colpiti tramite il tool di diagnostica Microsoft, aprendo semplicemente un documento Word.
Identificata come CVE-2022-30190, si stima un impatto grave con score CVSS v3 pari a 7.8.
Indice degli argomenti
Il retroscena della vulnerabilità zero-day Follina
I riflettori sarebbero stati puntati sulla questione dal fornitore di servizi di sicurezza giapponese Nao_Sec in suo un post nello scorso fine settimana.
La vulnerabilità zero-day Follina sarebbe stata trovata in un campione template di documento Word caricato su VirusTotal.
Secondo quanto ricostruito nel thread, la tecnica sfrutterebbe un’iniezione di codice HTML dannoso contenente uno script PowerShell che, a sua volta, abuserebbe di uno dei componenti legittimi forniti dall’ambiente Windows, il componente “msdt”. MSDT è l’acronimo di Microsoft Support Diagnostic Tool, la procedura guidata che raccoglie informazioni e rapporti al supporto Microsoft.
I contributi della comunità di sicurezza
Diversi altri ricercatori di sicurezza, analizzando il documento condiviso da Nao_Sec, hanno fornito ulteriori indicazioni oltre a riprodurre Proof-of-Concept su più versioni di Microsoft Office.
Tra questi, il ricercatore di sicurezza Kevin Beaumont che ha soprannominato la vulnerabilità con il nome di “Follina”, spiegando che il codice zero-day farebbe riferimento al numero 0438 che richiama al prefisso telefonico del comune italiano di Follina.
Anche Beaumont confermerebbe che il difetto starebbe abusando della funzionalità dei template remoti in Microsoft Word. Il caricamento del template avverrebbe immediatamente durante l’apertura del documento Word e una volta effettuato il download, il codice malevolo PowerShell verrebbe eseguito anche con l’esecuzione macro disabilitata.
Di seguito il codice PowerShell deoffuscato e condiviso dallo stesso Beaumont: lo script estrae da un arichivio .rar il payload codificato (Base64) e lo esegue.
Nel suo blog l’analista afferma, inoltre, che:
- la funzionalità di visualizzazione protetta in Microsoft Office, anche se solitamente si attivi per avvisare gli utenti della possibilità di un documento malevolo, potrebbe essere comunque facilmente ignorata modificando il documento in un file RTF (Rich Text Format). In tal caso, il codice offuscato potrebbe essere eseguito senza nemmeno aprire il documento ma semplicemente tramite la scheda anteprima di Esplora Risorse di Windows;
- l’exploit, non correttamente individuato dagli strumenti di protezione, starebbe attualmente interessando le versioni di Microsoft Office 2013 e 2016.
Ulteriori contributi sono stati forniti da:
- Didier Stevens che ha affermato di aver sfruttato il bug di Follina su una versione aggiornata di Office 2021 pubblicando un video dimostrativo;
- John Hammond che ha pubblicato un Proof-of-Concept di Follina, MS-MSDT “Follina” Office click-to-hack.
MS-MSDT "Follina" Office click-to-hack. pic.twitter.com/v0DOkQhZjq
— John Hammond (@_JohnHammond) May 30, 2022
Possibili misure di mitigazioni di Follina
Microsoft ha emesso un bollettino di sicurezza affermando tra l’altro che la vulnerabilità risulta sfruttata attivamente in rete.
Poiché non è escluso che non possa essere sfruttata in nuove campagne malware e in considerazione delle pericolose potenzialità tipiche degli exploit “zero-click” (in particolare Follina può essere attivato con una semplice anteprima al passaggio del mouse di un file scaricato) e del fatto che non esistono patch si suggerisce:
- di seguire le misure di riduzione della superficie di attacco di Microsoft per mitigare il rischio;
- di prestare la massima attenzione a documenti Office ricevuti come allegati email;
- di mantenere sempre alto il livello di consapevolezza degli utenti, avvisandoli periodicamente sulle minacce in corso e sulle continue evoluzioni.
Lo CISRT Italia, inoltre, consiglia di applicare le mitigazioni disponibili seguendo le indicazioni riportate dalla guida Microsoft e di valutare l’implementazione dei seguenti Indicatori di Compromissione (IoC):
- url: xmlformats[.]com
- hash: 4a24048f81afbe9fb62e7a6a49adbd1faf41f266b5f9feecdceb567aec096784
- hash: 52945af1def85b171870b31fa4782e52
- hash: 06727ffda60359236a8029e0b3e8a0fd11c23313
- hash: 710370f6142d945e142890eb427a368bfc6c5fe13a963f952fb884c38ef06bfa
- hash: 934561173aba69ff4f7b118181f6c8f467b0695d
- hash: f531a7c270d43656e34d578c8e71bc39
- filename: 05-2022-0438[.]doc
