La vulnerabilità zero-day di Microsoft Office "Follina" potrebbe avere i suoi primi utenti ufficiali e le sue prime vittime, hanno rivelato gli esperti.
I ricercatori di sicurezza informatica di Proofpoint hanno scoperto che un attore di minacce sponsorizzato dallo stato cinese noto come TA413 stava prendendo di mira la comunità tibetana internazionale utilizzando il difetto.
"TA413 CN APT ha scoperto ITW che sfruttava Follina 0Day utilizzando gli URL per fornire file Zip contenenti documenti Word utilizzando la tecnica", ha osservato Proofpoint.
Installa i ladri di informazioni
"Le campagne si atteggiano a 'Office for Women's Empowerment' del governo tibetano centrale e utilizzano il dominio tibet-gov.webrequest".
Scoperta all'inizio di maggio 2022, Follina esegue un'utilità di Windows chiamata msdt.exe, progettata per eseguire diversi pacchetti di risoluzione dei problemi su Windows. Per eseguirlo, gli aggressori avrebbero inviato un file .docx armato, in grado di avere codice di runtime MSDT anche in modalità anteprima.
Abusando di questa utilità, gli aggressori possono dire all'endpoint di destinazione (si apre in una nuova scheda) di chiamare un file HTML, da un URL remoto. Gli aggressori hanno scelto i formati xmlcom, probabilmente cercando di nascondersi dietro il dominio openxmlformats.org dall'aspetto simile ma legittimo utilizzato nella maggior parte dei documenti di Word, suggeriscono i ricercatori.
MalwareHunterTeam ha anche trovato file .docx con nomi di file cinesi installati da ladri di informazioni tramite http://coolratX e Z. Il file HTML contiene un sacco di "spazzatura", che oscura il suo vero scopo: uno script che scarica ed esegue un carico utile . Il difetto, identificato come CVE-2022-30190, interessa tutte le piattaforme client e server Windows che continuano a ricevere aggiornamenti di sicurezza.
In seguito alla pubblicazione dei risultati, Microsoft ha riconosciuto la minaccia, affermando che esiste una vulnerabilità legata all'esecuzione di codice in modalità remota "quando MSDT viene richiamato utilizzando il protocollo URL da un'applicazione chiamante come Word".
“Un utente malintenzionato che ha sfruttato con successo questa vulnerabilità potrebbe eseguire codice arbitrario con i privilegi dell'applicazione chiamante. L'attaccante può quindi installare programmi, visualizzare, modificare o eliminare dati o creare nuovi account all'interno del framework autorizzato dai diritti dell'utente.
Sebbene alcuni software antivirus possano già rilevare questo attacco, Microsoft ha anche rilasciato un metodo di mitigazione, che include la disabilitazione del protocollo URL MSDT. Ciò impedirà l'avvio degli strumenti per la risoluzione dei problemi come collegamenti, ma saranno comunque accessibili tramite l'app Ottieni assistenza e nelle impostazioni di sistema. Per abilitare questa soluzione alternativa, gli amministratori devono effettuare le seguenti operazioni:
Esegui il prompt dei comandi come amministratore.
Per eseguire il backup della chiave di registro, eseguire il comando "reg export HKEY_CLASSES_ROOTms-msdt filename"
Eseguire il comando "reg delete HKEY_CLASSES_ROOTms-msdt /f".
Via: BleepingComputer (si apre in una nuova scheda)