Vulnerabilità in Microsoft Office consente esecuzione di codice arbitrario anche senza aprire i documenti

Un ricercatore che risponde su Twitter al nick nao_sec notava alcuni giorni fa una strana submission su VirusTotal proveniente dalla Bielorussia:

Il tweet parla di un documento Word malevolo che, caricando tramite link esterno una pagina html, riesce a eseguire comandi Powershell arbitrari tramite delle chiamate a niente meno che Microsoft Support Diagnostics Tool.

E’ possibile vedere una dimostrazione in un tweet da parte del noto ricercatore e youtuber John Hammond che ne mostrano l’esecuzione e in un video dimostrativo da parte di Didier Stevens e, spiega anche Kevin Beaumont, l’exploit riesce anche se le macro sono disabilitate. Lo stesso ricercatore riporta un’eventualità ancora peggiore:

Protected View does kick in, although if you change the document to RTF form, it runs without even opening the document (via the preview tab in Explorer) let alone Protected View

Protected View si attiva, ma se il documento viene cambiato in RTF, l’exploit parte senza nemmeno aprire il documento (mediante la tab preview in Explorer), ignorando quindi del tutto la Protected View” (n.d.r)

Sembra infatti che, se il documento venisse distribuito come .rtf e non .docx, il codice verrebbe eseguito tramite l’anteprima di Explorer, prima ancora che l’utente ci clicchi sopra.

Il malware, al momento in cui scriviamo, viene rilevato solo da una parte degli antivirus ed è stato temporaneamente battezzato come “Follina” in quanto appare, nel suo codice, il prefisso di tale comune italiano.

Le versioni colpite sembrano essere al momento Office 2016 e Office 2021, ma non è escluso che ve ne possano essere altre e che l’exploit possa funzionare anche con l’ultima versione di Office Professional Pro patchata ad Aprile 2022 e su Windows 11, come mostrato in un tweet indipendente da un altro ricercatore.

Questo genere di attacco usa una tecnica già conosciuta come template injection e già ampiamente utilizzata da altri malware. Le mitigazioni possibili, oltre a quelle generali per il vettore di attacco indicate nel link precedente, sono leggermente invasive e vengono descritte in un’analisi tecnica dettagliata svolta dai ricercatori di Huntress. Consistono essenzialmente in due operazioni:

Non vi sono ancora patch da parte di Microsoft al momento in cui scriviamo, pertanto… Occhi aperti!

UPDATE: Al 3 giugno non vi sono ancora patch ufficiali, ma vi è un blog post da parte dal Microsoft Security Response Center, per quella che ora è nota come CVE-2022-30190.

UPDATE: Al 9 giugno ancora niente patch ufficiale, sebbene ve ne sia una non ufficiale. Secondo securityweek, la vulnerabilità è sotto attivo attacco.

UPDATE: Dal 15 giugno risulta disponibile una patch ufficiale, distribuita con l’update cumulativo di Giugno 2022.

Appassionato di Linux e della cultura open-source da vent'anni, continuo a fare del mio meglio per diffondere tale filosofia e soprattutto condividere la conoscenza.

C'è sempre qualcuno, laffuori, che sta avendo un problema che tu hai già risolto e, condividendo la soluzione, puoi fare la differenza.

Se quel qualcuno sei tu, chiedi pure alla community. La trovi ovunque, ad esempio su reddit.com/r/italyinformatica, reddit.com/r/debian, reddit.com/r/ubuntu, reddit.com/r/archlinux, reddit.com/r/linux, sui forum specifici delle distro come https://bbs.archlinux.org/ oppure puoi consultare direttamente le wiki, come ad esempio quella di Arch a https://wiki.archlinux.org/title/Table_of_contents.

Perchè nessun problema andrebbe risolto più di una volta.

Tags: , , , , ,