È stata identificata una vulnerabilità zero-day, nota come "Follina", interessa Microsoft Office e che consente l'esecuzione di codice arbitrario tramite lo Strumento di diagnostica supporto tecnico Microsoft (MSDT).
La segnalazione della falla arriva da nao_sec su Twitter, tramite un post in cui si segnala la presenza di un documento dannoso inviato a VirusTotal dalla Bielorussia e che sfrutta il collegamento esterno di Word per caricare un file HTML, seguito dall'uso dello schema md-msdt per eseguire codice su PowerShell.
Interesting maldoc was submitted from Belarus. It uses Word's external link to load the HTML and then uses the "ms-msdt" scheme to execute PowerShell code.https://t.co/hTdAfHOUx3 pic.twitter.com/rVSb02ZTwt
— nao_sec (@nao_sec) May 27, 2022
Il ricercatore di sicurezza Kevin Beaumont ha scoperto che la falla era già stata segnalata a Microsoft il 12 aprile, ma l'azienda aveva chiuso il report non riconoscendo il problema come una questione di sicurezza.
In ogni caso, Beaumont sostiene che invece, la cosa è preoccupante, poiché questa falla implica l'uso di msdt anche se le macro sono disattivate su Word. E se è vero che l'attacco iniziale si limita a eseguire codice al livello dell'account utente in seguito all'apertura del documento malevolo, tale accesso spiana la strada a ulteriori attacchi che potrebbero anche portare all'escalation dei privilegi.
E se è vero che al momento l'exploit determina (ma non sempre) l'apertura di una finestra pop-up dello Strumento di diagnostica supporto tecnico Microsoft, l'ipotesi che un utente medio chiuda la finestra senza pensarci troppo è più che plausibile. Il problema, in ogni caso, è che Word carica il codice dannoso da un modello remoto tramite web server, di conseguenza nulla all'interno del documento Word innesca i sistemi di rilevamento degli antivirus e/o delle suite di sicurezza in generale.
Per proteggersi dalla possibile minaccia, i ricercatori suggeriscono due metodi: il primo prevede di utilizzare le regole di riduzione della superficie di attacco (ASR) di Microsoft Defender, impostando in modalità di blocco l'opzione "Impedire alle applicazioni di Office di creare processi figlio". In alternativa, l'analista Will Dormann consiglia di rimuovere l'associazione del tipo di file per ms-msdt, come condiviso tramite un post su Twitter.
E sulla faccenda è appena intervenuta anche Microsoft, pubblicando una guida dedicata alla vulnerabilità nota come CVE-2022-30190. L'azienda consiglia di disabilitare il protocollo MSDT URL come soluzione temporanea al problema, almeno finché non arriverà una qualche patch ufficiale. Ecco come procedere:
- Eseguire il Prompt dei comandi come Amministratore. Potete digitare "CMD" sulla barra delle applicazioni e fare clic con il pulsante destro su cmd.exe per selezionare "Esegui come Amministratore".
- Effettuare un backup della chiave di registro con il comando reg export HKEY_CLASSES_ROOT\ms-msdt filename laddove "filename" è un nome file che potete scegliere a vostra discrezione
- Eseguire il comando reg delete HKEY_CLASSES_ROOT\ms-msdt /f
Dato che disabilitando il protocollo non avrete più modo di avviare gli strumenti di risoluzione dei problemi, ecco come annullare la procedura:
- Eseguite il prompt dei comandi come Amministratore.
- Recuperate la chiave di registro tramite il comando reg import filename laddove "filename" corrisponde al nome del file che avete selezionato.