Un ricercatore che risponde su Twitter al nick nao_sec notava alcuni giorni fa una strana submission su VirusTotal proveniente dalla Bielorussia:
Interesting maldoc was submitted from Belarus. It uses Word’s external link to load the HTML and then uses the “ms-msdt” scheme to execute PowerShell code.https://t.co/hTdAfHOUx3 pic.twitter.com/rVSb02ZTwt
— nao_sec (@nao_sec) May 27, 2022
Il tweet parla di un documento Word malevolo che, caricando tramite link esterno una pagina html, riesce a eseguire comandi Powershell arbitrari tramite delle chiamate a niente meno che Microsoft Support Diagnostics Tool.
E’ possibile vedere una dimostrazione in un tweet da parte del noto ricercatore e youtuber John Hammond che ne mostrano l’esecuzione e in un video dimostrativo da parte di Didier Stevens e, spiega anche Kevin Beaumont, l’exploit riesce anche se le macro sono disabilitate. Lo stesso ricercatore riporta un’eventualità ancora peggiore:
Protected View does kick in, although if you change the document to RTF form, it runs without even opening the document (via the preview tab in Explorer) let alone Protected View
Protected View si attiva, ma se il documento viene cambiato in RTF, l’exploit parte senza nemmeno aprire il documento (mediante la tab preview in Explorer), ignorando quindi del tutto la Protected View” (n.d.r)
Sembra infatti che, se il documento venisse distribuito come .rtf e non .docx, il codice verrebbe eseguito tramite l’anteprima di Explorer, prima ancora che l’utente ci clicchi sopra.
Il malware, al momento in cui scriviamo, viene rilevato solo da una parte degli antivirus ed è stato temporaneamente battezzato come “Follina” in quanto appare, nel suo codice, il prefisso di tale comune italiano.
Le versioni colpite sembrano essere al momento Office 2016 e Office 2021, ma non è escluso che ve ne possano essere altre e che l’exploit possa funzionare anche con l’ultima versione di Office Professional Pro patchata ad Aprile 2022 e su Windows 11, come mostrato in un tweet indipendente da un altro ricercatore.
Questo genere di attacco usa una tecnica già conosciuta come template injection e già ampiamente utilizzata da altri malware. Le mitigazioni possibili, oltre a quelle generali per il vettore di attacco indicate nel link precedente, sono leggermente invasive e vengono descritte in un’analisi tecnica dettagliata svolta dai ricercatori di Huntress. Consistono essenzialmente in due operazioni:
- Impedire alle applicazioni Office di creare processi figli
- Rimuovere l’associazione di tipo file per ms-msdt
Non vi sono ancora patch da parte di Microsoft al momento in cui scriviamo, pertanto… Occhi aperti!
UPDATE: Al 3 giugno non vi sono ancora patch ufficiali, ma vi è un blog post da parte dal Microsoft Security Response Center, per quella che ora è nota come CVE-2022-30190.
UPDATE: Al 9 giugno ancora niente patch ufficiale, sebbene ve ne sia una non ufficiale. Secondo securityweek, la vulnerabilità è sotto attivo attacco.
UPDATE: Dal 15 giugno risulta disponibile una patch ufficiale, distribuita con l’update cumulativo di Giugno 2022.
Appassionato di Linux e della cultura open-source da vent’anni, continuo a fare del mio meglio per diffondere tale filosofia e soprattutto condividere la conoscenza.
C’è sempre qualcuno da qualche parte nel mondo che sta avendo un problema che tu hai già risolto e, condividendo la soluzione, puoi fare la differenza.
Se quel qualcuno sei tu, chiedi pure alla community. La trovi ovunque, ad esempio su reddit.com/r/italyinformatica, reddit.com/r/fedora, reddit.com/r/debian, reddit.com/r/ubuntu, reddit.com/r/archlinux, reddit.com/r/linux, sui forum specifici delle distro oppure sulle loro wiki.
Perchè nessun problema andrebbe risolto più di una volta.
[https://it.linkedin.com/in/john-toscano]
Lascia un commento