Vi avevamo già parlato di Follina, una minaccia zero-day che sfrutta una vulnerabilità di Microsoft Office, e in particolare di Word, che consente di eseguire codice arbitrario tramite lo Strumento di diagnostica supporto tecnico Microsoft (MSDT). La falla, classificata come CVE-2022-30190, riguarda tutti i client Windows e le piattaforme server che continuano a ricevere aggiornamenti di sicurezza (Windows 7 e versioni successive, Windows Server 2008 e versioni successive).
E sembra che la vulnerabilità sia già stata sfruttata per eseguire da remoto codice malevolo sui sistemi Windows da parte di alcun criminali informatici cinesi. In questo caso, si tratta del gruppo hacker TA413 APT, collegato in qualche modo agli interessi nazionali della Cina, che avrebbe sfruttato la falla per attaccare la comunità tibetana internazionale.
TA413 CN APT spotted ITW exploiting the #Follina #0Day using URLs to deliver Zip Archives which contain Word Documents that use the technique. Campaigns impersonate the "Women Empowerments Desk" of the Central Tibetan Administration and use the domain tibet-gov.web[.]app pic.twitter.com/4FA9Vzoqu4
— Threat Insight (@threatinsight) May 31, 2022
Gli hacker hanno distribuito dei file ZIP contenenti documenti Word compromessi, come segnalato da Proofpoint, tramite una campagna fasulla relativa all'ufficio per l'emancipazione della donna dell'amministrazione centrale tibetana, attraverso il dominio tibet-gov (punto) web (punto) app.
I ricercatori di sicurezza di MalwareHunterTeam, poi, hanno individuato dei documenti in formato .docx con nomenclatura in lingua cinese che consentono di installare trojan per il furto delle password.
Gli attacchi andati a segno, consentono di eseguire codice arbitrario con privilegi elevati. Microsoft da parte sua, dopo aver inizialmente negato la pericolosità di questa falla, ha provveduto da poco a fornire una soluzione temporanea per impedire lo sfruttamento della vulnerabilità CVE-2022-30190, che prevede la disattivazione del protocollo MSDT URL, come vi avevamo già riportato in precedenza.
Per motivi di sicurezza, vi riproponiamo la procedura:
- Eseguire il Prompt dei comandi come Amministratore. Potete digitare “CMD” sulla barra delle applicazioni e fare clic con il pulsante destro su cmd.exe per selezionare “Esegui come Amministratore”.
- Effettuare un backup della chiave di registro con il comando reg export HKEY_CLASSES_ROOT\ms-msdt filename laddove “filename” è un nome file che potete scegliere a vostra discrezione
- Eseguire il comando reg delete HKEY_CLASSES_ROOT\ms-msdt /f