L'ANALISI TECNICA

Vulnerabilità Follina sfruttata per distribuire la backdoor Rozena: come mitigare il rischio

È stata identificata una campagna di phishing che sfrutta la vulnerabilità zero-day Follina, recentemente resa nota e con impatti sulle applicazioni della suite Microsoft Office, per distribuire la backdoor Rozena. Ecco tutti i dettagli e i consigli di mitigazione del rischio

12 Lug 2022
L
Salvatore Lombardo

Funzionario informatico, Esperto ICT, Socio Clusit e autore

Si torna a parlare della vulnerabilità zero-day Follina che impatta sulle applicazioni della suite Microsoft Office e già sfruttata per l’esecuzione di codice in modalità remota nello strumento di diagnostica Microsoft Support Diagnostic Tool.

Nelle ultime settimane, infatti, secondo quanto riportato in un recente rapporto Fortinet FortiGuard Labs, una campagna di phishing sarebbe stata osservata sfruttare proprio tale la vulnerabilità di sicurezza per distribuire la nuova backdoor Rozena, in grado di iniettare una connessione shell remota sulla macchina dell’attaccante.

Ricordiamo che la vulnerabilità Follina, tracciata come CVE-2022-30190, è stata scoperta alla fine di maggio 2022 e successivamente corretta in occasione del Patch Tuesday di giugno 2022.

Backdoor Rozena, la catena di infezione

Tutto ha inizio con un documento di Office armato opportunamente per recuperare, una volta aperto, un file HTML (“index.htm”) tramite un URL di uno spazio CDN Discord.

WEBINAR
20 Settembre 2022 - 12:00
Principali minacce digitali: quali sono e come proteggerci per il nuovo anno 2023
Sicurezza
Storage

Esempio di cosa succede dopo aver fatto clic sul documento

Il file HTML invocherà successivamente, tramite un comando PowerShell, l’utilità di diagnostica (msdt.exe) per scaricare nella fase successiva il payload dallo stesso spazio CDN dedicato.

Nella fattispecie, vengono recuperati due file:

  1. un file batch “cd.bat” che verrà avviato in background;
  2. un eseguibile “word.exe” (la backdoor Rozena) salvato nella cartella “c:WindowsTasks”.

Screenshot del comando decodificato Base64

Il file .bat, come emerso dall’analisi del suo script, sarebbe stato implementato per cancellare ogni traccia di sfruttamento di Follina (terminando i processi MSDT e winword.exe), stabilire la persistenza della backdoor (mediante opportuna modifica del registro di Windows) e scaricare un documento Word come esca (il file “1c9c88f811662007.docx” viene salvato nella directory “C:users$env:USERNAMEDownloads” con un nome più breve “18562.docx).

Screenshot del contenuto del file cd.bat

Invece, l’esecuzione del file “word.exe” avvierà tramite un comando Powershell (codificato Base64) la funzione principale del malware Rozena ovvero l’iniezione di una shellcode che avvia sull’host dell’attaccante (microsofto.duckdns[.]org, porta TCP 55911) una reverse shell, consentendo in definitiva allo stesso di assumere il controllo del sistema target per monitorarlo e acquisire informazioni.

“Il comando decodificato ha un solo lavoro: iniettare shellcode. Innanzitutto, definisce una variabile “$gcr” per l’intera procedura di iniezione. Utilizza DLLImport per kernel32.dll e msvcrt.dll per importare API specifiche (VirtualAlloc, CreateThread) e Memset, per ottenere l’iniezione di codice. Seguono alcuni byte esadecimali che definiscono il blocco di codice da iniettare. Quindi questi byte vengono copiati nella memoria allocata e inseriti nel PowerShell.exe in esecuzione. Infine, viene impostato un ciclo sleep. Nella parte inferiore evidenziata in rosso, segue la codifica in Base64 dell’iniezione impostata nella variabile “$gcr” e un nuovo processo PowerShell viene richiamato con il parametro “-ec”.” si legge nel rapporto della ricercatrice di Fortinet FortiGuard Labs Cara Lin.

Screenshot del comando PowerShell decodificato

In figura lo scenario di attacco completo.

Rozena Backdoor

Consigli di mitigazione

Poiché, come noto, CVE-2022-30190 è una vulnerabilità di gravità elevata (CVSS 7.8) che consente a un attore malintenzionato di fornire qualsiasi tipo di malware tramite un documento Microsoft Word, si consiglia a tutti gli utenti, se non già fatto, di applicare immediatamente la patch rilasciata dal vendor il 14 giugno scorso.

Ulteriori dettagli tecnici e gli IoC sono disponibili nell’analisi pubblicata da Fortinet.

@RIPRODUZIONE RISERVATA

Articolo 1 di 5