Microsoft risolve la minaccia Follina nell'ultima patch di martedì

Microsoft risolve la minaccia Follina nell'ultima patch di martedì

Microsoft ha appena rilasciato il suo aggiornamento cumulativo di giugno 2022 per Windows, che include una correzione per la temuta vulnerabilità di Follina.

"Microsoft consiglia vivamente ai clienti di installare gli aggiornamenti per essere completamente protetti dalla vulnerabilità. I ​​clienti i cui sistemi sono configurati per ricevere aggiornamenti automatici non devono eseguire ulteriori passaggi", ha affermato Microsoft nel suo parere.

Scoperto dall'esperto di sicurezza informatica Kevin Beaumont e soprannominato "Follina", il difetto sfrutta un'utilità di Windows chiamata msdt.exe, progettata per eseguire vari pacchetti di risoluzione dei problemi su Windows. Il ricercatore ha scoperto che quando la vittima scarica un file Word armato, non ha nemmeno bisogno di eseguirlo, l'anteprima in Windows Explorer è sufficiente per abusare dello strumento (deve essere un file RTF).

Fanculo abusato in natura

Abusando di questa utilità, gli aggressori possono dire all'endpoint di destinazione (si apre in una nuova scheda) di chiamare un file HTML, da un URL remoto. Gli aggressori hanno scelto i formati xmlcom, probabilmente cercando di nascondersi dietro il dominio openxmlformats.org dall'aspetto simile, sebbene legittimo, utilizzato nella maggior parte dei documenti Word.

Il file HTML contiene un sacco di "spazzatura", che oscura il suo vero scopo: uno script che scarica ed esegue un payload.

La patch di Microsoft non impedisce a Office di caricare automaticamente i gestori URI del protocollo Windows senza l'interazione dell'utente, ma blocca l'iniezione di PowerShell, rendendo l'attacco inutile.

Non appena è stato scoperto, i ricercatori hanno iniziato a rintracciare il difetto abusato in natura. Secondo quanto riferito, i suoi primi utenti includevano attori di minacce sponsorizzati dallo stato cinese che organizzavano attacchi informatici (si apre in una nuova scheda) contro la comunità tibetana internazionale.

"TA413 CN APT ha rilevato ITW che sfrutta Follina 0Day utilizzando gli URL per fornire file Zip contenenti documenti Word utilizzando la tecnica", hanno affermato due settimane fa i ricercatori di sicurezza informatica di Proofpoint. La stessa azienda ha anche scoperto che un altro attore di minacce, TA570, ha abusato di Follina per distribuire Qbot, mentre NCC Group ha scoperto che Black Basta, che è un noto gruppo di ransomware, ne ha ulteriormente abusato.

Via: BleepingComputer (si apre in una nuova scheda)