vulnerabilità

Follina, la zero-day in Microsoft Office che consente di prendere il controllo dei sistemi Windows

È stata ribattezzata Follina la vulnerabilità zero-day in Microsoft Office che consente di prendere il controllo dei sistemi Windows e può essere sfruttata per installare malware sul computer. Microsoft non ha ancora rilasciato un aggiornamento. Ecco tutti i dettagli e i consigli per mitigare i rischi

01 Giu 2022
L
Salvatore Lombardo

Funzionario informatico, Esperto ICT, Socio Clusit e autore

Una vulnerabilità zero-day ribattezzata Follina consentirebbe agli attaccanti di eseguire codice arbitrario sui sistemi colpiti tramite il tool di diagnostica Microsoft, aprendo semplicemente un documento Word.

Identificata come CVE-2022-30190, si stima un impatto grave con score CVSS v3 pari a 7.8.

Il retroscena della vulnerabilità zero-day Follina

I riflettori sarebbero stati puntati sulla questione dal fornitore di servizi di sicurezza giapponese Nao_Sec in suo un post nello scorso fine settimana.

candidatura
Passione per la cybersecurity? Candidati per la squadra di IT & Cyber Security Governance di P4I!
Sicurezza
Cybersecurity

La vulnerabilità zero-day Follina sarebbe stata trovata in un campione template di documento Word caricato su VirusTotal.

Secondo quanto ricostruito nel thread, la tecnica sfrutterebbe un’iniezione di codice HTML dannoso contenente uno script PowerShell che, a sua volta, abuserebbe di uno dei componenti legittimi forniti dall’ambiente Windows, il componente “msdt”. MSDT è l’acronimo di Microsoft Support Diagnostic Tool, la procedura guidata che raccoglie informazioni e rapporti al supporto Microsoft.

Codice offuscato utilizzato negli attacchi di sfruttamento della vulnerabilità di Follina

I contributi della comunità di sicurezza

Diversi altri ricercatori di sicurezza, analizzando il documento condiviso da Nao_Sec, hanno fornito ulteriori indicazioni oltre a riprodurre Proof-of-Concept su più versioni di Microsoft Office.

Tra questi, il ricercatore di sicurezza Kevin Beaumont che ha soprannominato la vulnerabilità con il nome di “Follina”, spiegando che il codice zero-day farebbe riferimento al numero 0438 che richiama al prefisso telefonico del comune italiano di Follina.

Anche Beaumont confermerebbe che il difetto starebbe abusando della funzionalità dei template remoti in Microsoft Word. Il caricamento del template avverrebbe immediatamente durante l’apertura del documento Word e una volta effettuato il download, il codice malevolo PowerShell verrebbe eseguito anche con l’esecuzione macro disabilitata.

Di seguito il codice PowerShell deoffuscato e condiviso dallo stesso Beaumont: lo script estrae da un arichivio .rar il payload codificato (Base64) e lo esegue.

Carico utile Follina non offuscato

Nel suo blog l’analista afferma, inoltre, che:

  1. la funzionalità di visualizzazione protetta in Microsoft Office, anche se solitamente si attivi per avvisare gli utenti della possibilità di un documento malevolo, potrebbe essere comunque facilmente ignorata modificando il documento in un file RTF (Rich Text Format). In tal caso, il codice offuscato potrebbe essere eseguito senza nemmeno aprire il documento ma semplicemente tramite la scheda anteprima di Esplora Risorse di Windows;
  2. l’exploit, non correttamente individuato dagli strumenti di protezione, starebbe attualmente interessando le versioni di Microsoft Office 2013 e 2016.

Ulteriori contributi sono stati forniti da:

  • Didier Stevens che ha affermato di aver sfruttato il bug di Follina su una versione aggiornata di Office 2021 pubblicando un video dimostrativo;

Possibili misure di mitigazioni di Follina

Microsoft ha emesso un bollettino di sicurezza affermando tra l’altro che la vulnerabilità risulta sfruttata attivamente in rete.

Poiché non è escluso che non possa essere sfruttata in nuove campagne malware e in considerazione delle pericolose potenzialità tipiche degli exploit “zero-click” (in particolare Follina può essere attivato con una semplice anteprima al passaggio del mouse di un file scaricato) e del fatto che non esistono patch si suggerisce:

  1. di seguire le misure di riduzione della superficie di attacco di Microsoft per mitigare il rischio;
  2. di prestare la massima attenzione a documenti Office ricevuti come allegati email;
  3. di mantenere sempre alto il livello di consapevolezza degli utenti, avvisandoli periodicamente sulle minacce in corso e sulle continue evoluzioni.

Lo CISRT Italia, inoltre, consiglia di applicare le mitigazioni disponibili seguendo le indicazioni riportate dalla guida Microsoft e di valutare l’implementazione dei seguenti Indicatori di Compromissione (IoC):

  • url: xmlformats[.]com
  • hash: 4a24048f81afbe9fb62e7a6a49adbd1faf41f266b5f9feecdceb567aec096784
  • hash: 52945af1def85b171870b31fa4782e52
  • hash: 06727ffda60359236a8029e0b3e8a0fd11c23313
  • hash: 710370f6142d945e142890eb427a368bfc6c5fe13a963f952fb884c38ef06bfa
  • hash: 934561173aba69ff4f7b118181f6c8f467b0695d
  • hash: f531a7c270d43656e34d578c8e71bc39
  • filename: 05-2022-0438[.]doc

WHITEPAPER
Costruire una VERA DATA STRATEGY: machine learning, sicurezza e valorizzazione del dato.
Amministrazione/Finanza/Controllo
Big Data
@RIPRODUZIONE RISERVATA

Articolo 1 di 4