Una vulnerabilità zero-day in Microsoft Office consente agli avversari di eseguire codice dannoso su sistemi mirati attraverso una falla in una funzione di modello di Word in remoto.
L’avvertimento proviene dal fornitore di sicurezza giapponese Nao Sec, che nel fine settimana ha twittato un avvertimento sullo zero day.
Il noto ricercatore di sicurezza Kevin Beaumont ha soprannominato la vulnerabilità “Follina“, spiegando che il codice zero day fa riferimento al prefisso italiano di Follina, lo 0438.
Beaumont ha dichiarato che la falla abusa della funzione di modello remoto di Microsoft Word e non dipende da un tipico percorso di exploit basato su macro, comune negli attacchi basati su Office. Secondo Nao Sec, un campione del bug è stato trovato in un modello di documento Word e si collega a un indirizzo di protocollo Internet (IP) nella Repubblica di Bielorussia.
Non è chiaro se il bug zero day sia stato sfruttato attivamente dagli avversari. Secondo notizie non confermate, esiste un codice proof-of-concept e le versioni più recenti di Office sono vulnerabili all’attacco. Nel frattempo, i ricercatori di sicurezza affermano che gli utenti possono seguire le misure di Microsoft Attack Surface Reduction per mitigare il rischio, al posto di una patch.
Funzionamento di Follina
I ricercatori di Nao Sec spiegano che il percorso verso l’infezione prevede che il modello dannoso carichi un exploit tramite un file HTML (hypertext markup language) da un server remoto.
L’HTML caricato utilizza lo schema MSProtocol URI “ms-msdt” per caricare ed eseguire un frammento di codice PowerShell.
“Utilizza il collegamento esterno di Word per caricare l’HTML e poi utilizza lo schema ‘ms-msdt’ per eseguire il codice PowerShell“, come riportato da Nao Sec.
MSDT è l’acronimo di Microsoft Support Diagnostic Tool (Strumento di diagnostica del supporto Microsoft) e raccoglie informazioni e rapporti per il supporto Microsoft. Questa procedura guidata per la risoluzione dei problemi analizza le informazioni raccolte e cerca di trovare una soluzione agli intoppi riscontrati dall’utente.
Beaumont ha scoperto che la falla consente l’esecuzione del codice tramite MSDT, “anche se le macro sono disabilitate“.
“La visualizzazione protetta entra in funzione, anche se se si cambia il documento in formato RTF, il codice viene eseguito senza nemmeno aprire il documento (tramite la scheda di anteprima in Explorer) e tanto meno la visualizzazione protetta“, ha spiegato Beaumont.
Beaumont ha confermato che l’exploit interessa attualmente le versioni più vecchie di Microsoft Office 2013 e 2016 e il rilevamento degli endpoint ha “mancato l’esecuzione” del malware.
Un altro ricercatore di sicurezza, Didier Stevens, ha dichiarato di aver sfruttato il bug Follina su una versione completamente patchata di Office 2021, mentre John Hammond, un ricercatore di cybersicurezza, ha twittato la prova di funzionamento di Follina.
Gli utenti Microsoft con licenze E5 possono rilevare l’exploit aggiungendo la query dell’endpoint a Defender. Inoltre, Warren suggerisce di utilizzare le regole di riduzione della superficie di attacco (ASR) per bloccare la creazione di processi figlio da parte delle applicazioni di Office.
