Si torna a parlare della vulnerabilità zero-day Follina che impatta sulle applicazioni della suite Microsoft Office e già sfruttata per l’esecuzione di codice in modalità remota nello strumento di diagnostica Microsoft Support Diagnostic Tool.
Nelle ultime settimane, infatti, secondo quanto riportato in un recente rapporto Fortinet FortiGuard Labs, una campagna di phishing sarebbe stata osservata sfruttare proprio tale la vulnerabilità di sicurezza per distribuire la nuova backdoor Rozena, in grado di iniettare una connessione shell remota sulla macchina dell’attaccante.
Ricordiamo che la vulnerabilità Follina, tracciata come CVE-2022-30190, è stata scoperta alla fine di maggio 2022 e successivamente corretta in occasione del Patch Tuesday di giugno 2022.
Indice degli argomenti
Backdoor Rozena, la catena di infezione
Tutto ha inizio con un documento di Office armato opportunamente per recuperare, una volta aperto, un file HTML (“index.htm”) tramite un URL di uno spazio CDN Discord.
Il file HTML invocherà successivamente, tramite un comando PowerShell, l’utilità di diagnostica (msdt.exe) per scaricare nella fase successiva il payload dallo stesso spazio CDN dedicato.
Nella fattispecie, vengono recuperati due file:
- un file batch “cd.bat” che verrà avviato in background;
- un eseguibile “word.exe” (la backdoor Rozena) salvato nella cartella “c:WindowsTasks”.
Il file .bat, come emerso dall’analisi del suo script, sarebbe stato implementato per cancellare ogni traccia di sfruttamento di Follina (terminando i processi MSDT e winword.exe), stabilire la persistenza della backdoor (mediante opportuna modifica del registro di Windows) e scaricare un documento Word come esca (il file “1c9c88f811662007.docx” viene salvato nella directory “C:users$env:USERNAMEDownloads” con un nome più breve “18562.docx).
Invece, l’esecuzione del file “word.exe” avvierà tramite un comando Powershell (codificato Base64) la funzione principale del malware Rozena ovvero l’iniezione di una shellcode che avvia sull’host dell’attaccante (microsofto.duckdns[.]org, porta TCP 55911) una reverse shell, consentendo in definitiva allo stesso di assumere il controllo del sistema target per monitorarlo e acquisire informazioni.
“Il comando decodificato ha un solo lavoro: iniettare shellcode. Innanzitutto, definisce una variabile “$gcr” per l’intera procedura di iniezione. Utilizza DLLImport per kernel32.dll e msvcrt.dll per importare API specifiche (VirtualAlloc, CreateThread) e Memset, per ottenere l’iniezione di codice. Seguono alcuni byte esadecimali che definiscono il blocco di codice da iniettare. Quindi questi byte vengono copiati nella memoria allocata e inseriti nel PowerShell.exe in esecuzione. Infine, viene impostato un ciclo sleep. Nella parte inferiore evidenziata in rosso, segue la codifica in Base64 dell’iniezione impostata nella variabile “$gcr” e un nuovo processo PowerShell viene richiamato con il parametro “-ec”.” si legge nel rapporto della ricercatrice di Fortinet FortiGuard Labs Cara Lin.
In figura lo scenario di attacco completo.
Consigli di mitigazione
Poiché, come noto, CVE-2022-30190 è una vulnerabilità di gravità elevata (CVSS 7.8) che consente a un attore malintenzionato di fornire qualsiasi tipo di malware tramite un documento Microsoft Word, si consiglia a tutti gli utenti, se non già fatto, di applicare immediatamente la patch rilasciata dal vendor il 14 giugno scorso.
Ulteriori dettagli tecnici e gli IoC sono disponibili nell’analisi pubblicata da Fortinet.