Nuova vulnerabilità in Microsoft Office: la vulnerabilità, individuata e utilizzata per settimane, permette di distribuire malware da un server remoto bypassando l’antivirus Microsoft Defender. Il difetto è stato scoperto dopo che i ricercatori della sicurezza di Nao Sec hanno trovato un documento infetto da malware su Virus Total caricato da un indirizzo IP situato in Bielorussia. Dopo ulteriori indagini, il ricercatore di sicurezza Kevin Beaumont ha nominato il difetto «Follina» perché «il campione individuato nel file fa riferimento a 0438, che è il prefisso di Follina in Italia». Trattasi, dunque, di una vulnerabilità zero-day in Office e/o Windows.
Leggi anche > Microsoft supera Apple: ora è la società che vale di più al mondo
Il difetto permette di eseguire il codice tramite Microsoft Support Diagnostic Tool (MSDT) con le macro disabilitate. In alcuni casi, consente di eseguire il codice dannoso anche senza aprire il documento infetto: «Interessante maldoc è stato presentato dalla Bielorussia. Utilizza il collegamento esterno di Word per caricare l’HTML e quindi utilizza lo schema “ms-msdt” per eseguire il codice PowerShell».
Interesting maldoc was submitted from Belarus. It uses Word’s external link to load the HTML and then uses the “ms-msdt” scheme to execute PowerShell code.https://t.co/hTdAfHOUx3 pic.twitter.com/rVSb02ZTwt
— nao_sec (@nao_sec) May 27, 2022
Diversamente dalla maggior parte dei difetti relativi a Microsoft Office, gli exploit di Follina non si fondato sull’utilizzo di macro, lo strumento di automazione di Office. Il difetto permette invece di servirsi della funzionalità del modello remoto di Microsoft Word. Kevin Beaumont ha dichiarato che: «Il documento utilizza la funzionalità del modello remoto di Word per recuperare un file HTML da un server Web remoto, che a sua volta utilizza lo schema URI ms-msdt MSProtocol per caricare del codice ed eseguire un po’ di PowerShell. Non dovrebbe essere possibile». Anche Huntress ha pubblicato sul suo blog un post su questa nuova vulnerabilità chiamata «Follina» e usata in documenti Word malevoli che danno esecuzione a comandi PowerShell tramite MSDT. Windows Defender non rileva tale vulnerabilità che è sfruttabile senza grandi difficoltà. Secondo i ricercatori, l’origine del bug in natura risale ad aprile scorso. Beaumont ha fatto sapere che Follina è stata sfruttata per colpire la Russia attraverso un documento. Tale documento si nascondeva dietro ad un invito ad un’intervista per parlare alla radio russa Sputnik controllata dallo stato. I ricercatori sostengono che il bug possa essere sfruttato con versioni totalmente aggiornate di Office 2019, mentre altri hanno dimostrato che il difetto, invece, potrebbe essere sfruttato con Office 2021: «Ora siamo riusciti a farlo funzionare su Office 2019 (maggio) completamente aggiornato».
We’ve now managed to get it to work on fully updated (May) Office 2019.
— Mitja Kolsek (@mkolsek) May 30, 2022
Il Security Response Center (MSRC) di Microsoft ha rilasciato una guida con soluzioni alternative per disabilitare il protocollo URL MSDT e limitare il problema. Anche se l’azienda ha parlato di difetto, a cui è stato assegnato il numero CVE-2022-30190, che permette un attacco di esecuzione di codice remoto (RCE), la stessa non lo ha però definito un exploit zero-day: «Esiste una vulnerabilità legata all’esecuzione di codice in modalità remota quando MSDT viene chiamato utilizzando il protocollo URL da un’applicazione chiamante come Word. Un utente malintenzionato che sfrutti con successo questa vulnerabilità può eseguire codice arbitrario con i privilegi dell’applicazione chiamante. L’autore dell’attacco può quindi installare programmi, visualizzare, modificare o eliminare dati o creare nuovi account nel contesto consentito dai diritti dell’utente».