E' stata individuata una vulnerabilità 0day classificata come "severe" in Windows Support Diagnostic Tool (MSDT). Consente l'esecuzione di codice arbitrario da remoto, non è ancora patchata ed è già usata in attacchi reali.
CVE-2022-30190 Follina: info tecniche
La guida di Microsoft la descrive così:
"E' una vulnerabilità di esecuzione di codice da remoto che sussiste quando MSDT è chiamato usando il protocollo URL da un'applicazione richiamante come Word. Un attaccante che dovesse sfruttare con successo questa vulnerabilità può eseguire codice arbitrario da remoto coi privilegi dell'applicazione richiamante. L'attaccante può installare programmi, vedere, modificare e cancellare dati o creare nuovi account".
Qui l'alert di Microsoft > Microsoft Windows Support Diagnostic Tool (MSDT) Remote Code Execution Vulnerability
Windows Support Diagnostic Tool MSDT è un tool usato dal supporto di Microsoft per diagnosticare problemi su Windows e facilitarne la risoluzione. Questo tool è presente in tutte le versioni di Windows dalla 7 in poi, comprese le versioni Windows Server, dalla 2008 e successive. A tutt'ora non è stata pubblicata alcuna patch.
La 0day individuata per caso
La CVE-2022-30190 Follina è stata individuata per caso dal ricercatore nao_sec, che ha individuato un documento Word compromesso inviato alla piattaforma di scansione Virus Total da un indirizzo IP bielorusso.
"Stavo cercando su VirusTotal file che sfruttassero la vulnerabilità CVE-2021-40444, quando ho trovato un file che sfrutta lo schema ms-msdt. Usa un link esterno Word per caricare un file HTML quindi usa lo schema "ms-msdt" per eseguire codice PowerShell" ha fatto sapere nao_sec.
Il payload deoffuscato individuato da nao_sec |
In dettaglio, questo sample ha una riga di comando che Microsoft Word esegue usando MSDT, anche nel caso in cui gli script macro siano disattivati. Lo script Powershell estrae un file codificato in base64 da un file RAR.
Il documento Word in oggetto scarica un file HTML da un server remoto. Questo codice HTML usa quindi il protocollo MS_MSDT URL per caricare codice aggiuntivo ed eseguire il codice Powershell. Il ricercatore spiega che la funzione di Visualizzazione Protetta, pensata per avvisare nel caso di file provenienti da posizioni potenzialmente non sicure, si attiva per avvisare gli utenti della possibilità che il documento sia compromesso. E' però sufficiente convertire il documento in un file RTF per bypassare il problema.
La guida di Microsoft per mitigare il rischio
Microsoft è dovuta correre velocemente ai ripari, visto che Follina è già usata in attacchi reali e non solo via Proof of concept pubblicato da qualche accademico, pur già esistenti, ovviamente.
Windows spiega che al momento la migliore soluzione per mitigare il problema è disabilitare il protocollo MSDT URL, che è poi lo strumento usato dagli attaccanti per l'exploit. Per disabilitare questo protocollo occorre:
- eseguire il prompt dei comandi da amministratore;
- backuppare la chiave di registro eseguendo il comando "reg export HKEY_CLASSES_ROOT\ms-msdt ms-msdt.reg"
- eseguire il comando "reg delete HKEY_CLASSES_ROOT\ms-msdt /f"
Il protocollo potrà essere quindi riattivato quando Microsoft provvederà ad approntare e rendere disponibile una patch.
La CVE-2022-30190 Follina è già stata usata dal gruppo APT TA413 e in attacchi contro enti governativi europei e statunitensi
I Seqrite Security Labs hanno individuato un primo attacco che sfrutta la 0day Follina per distribuire la backdoor Turian e un beacon di Cobalt Strike. In uno dei casi analizzati è stato usato un documento Word chiamato "VIP Invitation to Doha Expo 2023.docx"che sfrutta il protocollo URL MSDT per scaricare Cobal Strike.
Nel secondo caso, è stata la redazione di Bleeping Computer a dare notizia di attacchi diretti contro enti governativi europei e statunitensi tramite la 0day Follina. In dettaglio l'attacco inizia con una email che promette ai dipendenti un aumento di salario per indurli ad aprire il documento dannoso. Questo scarica uno script Powershell come payload finale.
Fonte: Bleeping Computer |
Lo script Powershell verifica se si trovi o meno in esecuzione in una virtual machine, quindi ruba informazioni dai browser più popolari, dai clienti mail, dai servizi file e raccoglie informazioni sul sistema. Tutti i dati raccolti sono inviati ad un server controllato dall'attaccante.
Sono attaccati applicativi come:
- Browser: Google Chrome, Mozilla Firefox, Microsoft Edge, Opera, Yandex, Vivaldi, CentBrowser, Comodo, CheDot, Orbitum, Chromium, Slimjet, Xvast, Kinza, Iridium, CocCoc e AVAST Browser;
- Client Mail e altri applicativi: Mozilla Thunderbird, Netsarang, Windows Live Mail, Filezilla, ToDesk , WeChat, Oray SunLogin RemoteClient, MailMaster, ServU, Putty, FTP123, WinSCP, RAdmin, Microsoft Office, Navicat.
- Sono raccolte informazioni sulla macchina, la lista degli username e le informazione sui domini Windows.
Perché la CVE-2022-30190 si chiama Follina?
Una piccola curiosità: il nome Follina viene proprio dal piccolo comune della provincia di Treviso. Il nome lo ha scelto il ricercatore di sicurezza Kevin Beaumont, tra i primi ad analizzare sample di file vettore che sfruttano questa vulnerabilità. Deriva dal fatto che il sample che ha individuato fa riferimento a 0438 che è il prefisso del Comune di Follina, proprio in Italia.
Nessun commento:
Posta un commento