Un ricercatore che risponde su Twitter al nick nao_sec notava alcuni giorni fa una strana submission su VirusTotal proveniente dalla Bielorussia:
Interesting maldoc was submitted from Belarus. It uses Word’s external link to load the HTML and then uses the “ms-msdt” scheme to execute PowerShell code.https://t.co/hTdAfHOUx3 pic.twitter.com/rVSb02ZTwt
— nao_sec (@nao_sec) May 27, 2022Il tweet parla di un documento Word malevolo che, caricando tramite link esterno una pagina html, riesce a eseguire comandi Powershell arbitrari tramite delle chiamate a niente meno che Microsoft Support Diagnostics Tool.
E’ possibile vedere una dimostrazione in un tweet da parte del noto ricercatore e youtuber John Hammond che ne mostrano l’esecuzione e in un video dimostrativo da parte di Didier Stevens e, spiega anche Kevin Beaumont, l’exploit riesce anche se le macro sono disabilitate. Lo stesso ricercatore riporta un’eventualità ancora peggiore:
Protected View does kick in, although if you change the document to RTF form, it runs without even opening the document (via the preview tab in Explorer) let alone Protected View
Protected View si attiva, ma se il documento viene cambiato in RTF, l’exploit parte senza nemmeno aprire il documento (mediante la tab preview in Explorer), ignorando quindi del tutto la Protected View” (n.d.r)Sembra infatti che, se il documento venisse distribuito come .rtf e non .docx, il codice verrebbe eseguito tramite l’anteprima di Explorer, prima ancora che l’utente ci clicchi sopra.
Il malware, al momento in cui scriviamo, viene rilevato solo da una parte degli antivirus ed è stato temporaneamente battezzato come “Follina” in quanto appare, nel suo codice, il prefisso di tale comune italiano.
Le versioni colpite sembrano essere al momento Office 2016 e Office 2021, ma non è escluso che ve ne possano essere altre e che l’exploit possa funzionare anche con l’ultima versione di Office Professional Pro patchata ad Aprile 2022 e su Windows 11, come mostrato in un tweet indipendente da un altro ricercatore.
Questo genere di attacco usa una tecnica già conosciuta come template injection e già ampiamente utilizzata da altri malware. Le mitigazioni possibili, oltre a quelle generali per il vettore di attacco indicate nel link precedente, sono leggermente invasive e vengono descritte in un’analisi tecnica dettagliata svolta dai ricercatori di Huntress. Consistono essenzialmente in due operazioni:
- Impedire alle applicazioni Office di creare processi figli
- Rimuovere l’associazione di tipo file per ms-msdt
Non vi sono ancora patch da parte di Microsoft al momento in cui scriviamo, pertanto… Occhi aperti!
Tags: cybersecurity, follina, Malware, Office, rce, Remote Code Execution