Cercetătorii Kaspersky au descoperit o nouă vulnerabilitate de tip zero-day în Microsoft Office, numită Follina. Aceasta le permite infractorilor cibernetici să execute de la distanță cod rău intenționat pe sistemele victimelor lor, exploatând o vulnerabilitate din MSDT (Microsoft Diagnostics Tool) prin documente text compromise. Vulnerabilitatea zero-day nu a fost corectată, prin urmare cercetătorii Kaspersky au anticipat un număr tot mai mare de atacuri folosind vulnerabilitatea Follina.

Atacatorul se infiltrează în rețeaua victimei prin distribuirea unui document Microsoft Word (.docx) sau Rich Text Format (.rtf) special conceput, care conține un link către un atașament HTML rău intenționat. În același timp, la deschidere, documentul pregătit de un atacator lansează MSDT, un instrument de depanare Windows, care în mod normal colectează informații și raportează departamentului support  de la  Microsoft. Linia de comandă furnizată către MSDT prin adresa URL distribuită determină apoi rularea codului periculos.

Acesta permite atacatorului să distribuie și să instaleze programe rău intenționate pe computerul unei victime (inclusiv controllere de domeniu vulnerabile), precum și să fure datele stocate și să creeze conturi noi cu drepturi de utilizare complete. Una peste alta, atacatorul ar putea transmite orice comandă care urmează să fie executată pe sistemul victimei, cu privilegiile utilizatorului care a deschis documentul text. Mai mult, comanda poate fi livrată către sistemul vizat chiar dacă victima a deschis documentul în modul protejat, ba chiar dacă nici măcar nu a deschis deloc documentul.

În total, de la începutul lunii mai 2022 până pe 3 iunie, produsele Kaspersky au detectat peste 1000 de încercări de a exploata vulnerabilitatea nou descoperită. Aproximativ 40% dintre aceste încercări au fost înregistrate în SUA, urmate de Vietnam (8,3%) și Pakistan (8,2%). În același timp, situația este diferită dacă aruncăm o privire pe lista țărilor clasate după cei mai mulți utilizatori unici afectați: Pakistanul este lider cu aproape 45% dintre utilizatorii afectați, urmat de Rusia (6,5%) și SUA (4,32%). De remarcat, acestea sunt înregistrări specifice noii vulnerabilități Follina, descoperite recent, dar încercările de exploatare pot fi detectate și de alte verdicte.

Produsele Kaspersky protejează împotriva atacurilor care folosesc această vulnerabilitate și detectează implantul rău intenționat ca:

  • PDM:Exploit.Win32.Generic
  • HEUR:Exploit.MSOffice.Agent.n
  • HEUR:Exploit.MSOffice.Agent.gen
  • HEUR:Exploit.MSOffice.CVE-2017-0199.a
  • HEUR:Exploit.MSOffice.CVE-2021-40444.a
  • HEUR:Exploit.MSOffice.Generic

Pentru a rămâne protejați, experții Kaspersky vă sfătuiesc, de asemenea, să urmați recomandările Microsoft: Ghidul CVE-2022-30190 Microsoft Support Diagnostic Tool Vulnerability. Mai exact, pentru a preveni exploatarea acestei vulnerabilități, puteți dezactiva suportul pentru adresa URL a protocolului MSDT urmând acești pași:

  1. Rulați Command Prompt ca Administrator.
  2. Pentru a face backup cheilor de înregistrare modificate, executați comanda „reg export HKEY_CLASSES_ROOT\ms-msdt filename”
  3. Rulați comanda de dezactivare a suportului pentru adrese URL MDST „reg delete HKEY_CLASSES_ROOT\ms-msdt /f”