Eulogic Blog
Le ultime news dal mondo ICT
Le ultime news dal mondo ICT
I ricercatori di sicurezza hanno recentemente scoperto una nuova vulnerabilità zero-day in Microsoft Office, che consente di prendere il controllo dei sistemi Windows e può essere sfruttata per installare malware sui computer.
Questa vulnerabilità è stata ribattezzata Follina, perché il campione caricato su VirusTotal riportava il prefisso del comune italiano Follina. Lo zero-day consentirebbe agli attaccanti di eseguire codice arbitrario sui sistemi colpiti tramite il tool di diagnostica Microsoft, aprendo semplicemente un documento Word.
Identificata come CVE-2022-30190, si stima un impatto grave con score CVSS v3 pari a 7.8.
La tecnica impiega questo zero-day sfruttando i maldoc (documenti dannosi), che caricano il codice HTML dopo essere stati aperti. Successivamente, esegue uno script di PowerShell usando uno schema URI (Uniform Resource Identifier) di Microsoft Office noto come ms-msdt. MSDT è l’acronimo di Microsoft Support Diagnostic Tool, la procedura guidata che raccoglie informazioni e rapporti al supporto Microsoft.
I riflettori sarebbero stati puntati sulla questione dal fornitore di servizi di sicurezza giapponese Nao_Sec in suo un post.
I ricercatori, analizzando il documento condiviso da Nao_Sec, hanno fornito ulteriori indicazioni oltre a riprodurre Proof-of-Concept su più versioni di Microsoft Office.
Il caricamento del template avverrebbe immediatamente durante l’apertura del documento Word e una volta effettuato il download, il codice malevolo PowerShell verrebbe eseguito anche con l’esecuzione macro disabilitata.
Di seguito il codice PowerShell in chiaro e condiviso dal ricercatore Beaumont, lo script estrae da un archivio .rar il payload codificato (Base64) e lo esegue.
Microsoft ha emesso un bollettino di sicurezza affermando tra l’altro che la vulnerabilità risulta sfruttata attivamente in rete.
Cosa fare?
CISRT Italia, inoltre, consiglia di applicare le mitigazioni disponibili seguendo le indicazioni riportate dalla guida Microsoft e di valutare l’implementazione dei seguenti Indicatori di Compromissione (IoC):
url: xmlformats[.]com
hash: 4a24048f81afbe9fb62e7a6a49adbd1faf41f266b5f9feecdceb567aec096784
hash: 52945af1def85b171870b31fa4782e52
hash: 06727ffda60359236a8029e0b3e8a0fd11c23313
hash: 710370f6142d945e142890eb427a368bfc6c5fe13a963f952fb884c38ef06bfa
hash: 934561173aba69ff4f7b118181f6c8f467b0695d
hash: f531a7c270d43656e34d578c8e71bc39
filename: 05-2022-0438[.]doc
Eulogic S.r.l. | |
Sede BARI Via Junipero Serra,13 70125 Bari |
|
![]() ![]() |
|
![]() |
|
![]() |