I ricercatori di sicurezza hanno divulgato una vulnerabilità zero-day in Microsoft Office che può essere sfruttata utilizzando documenti Word dannosi per consentire l’esecuzione arbitraria di codice sui sistemi Windows interessati.

La vulnerabilità è emersa dopo che un ricercatore sulla sicurezza informatica indipendente noto come nao_sec ha scoperto un documento Word (“05-2022-0438.doc”) caricato su VirusTotal da un indirizzo IP in Bielorussia che utilizza il protocollo ms-mstd per eseguire comandi PowerShell e installare il malware.

Secondo il ricercatore di sicurezza Kevin Beaumont, che ha soprannominato la vulnerabilità “Follina” in quanto fa riferimento al prefisso 0438 di Follina (comune in provincia di Treviso), il maldoc sfrutta la funzione di modello remoto di Word per recuperare un file HTML da un server, che quindi utilizza lo schema URI “ms-msdt://” (abbreviazione di Microsoft Support Diagnostics Tool, un’utilità utilizzata per la risoluzione dei problemi e la raccolta di dati diagnostici per l’analisi da parte dei professionisti del supporto per risolvere un problema).

All’apertura di Word viene mostrato l’avviso di sicurezza della Visualizzazione protetta, ma può essere facilmente bypassato cambiando il documento in formato in RTF. Il codice infetto può essere eseguito senza neanche aprire il documento (tramite la scheda di anteprima in Explorer).

In un’analisi autonoma, la società di sicurezza informatica Huntress Labs ha dettagliato il flusso di attacco, rilevando il file HTML (“RDF842l.html”) che attiva l’exploit originato da un dominio ormai irraggiungibile.

Questa grave vulnerabilità dà quindi un modo per eseguire codice su un sistema di destinazione con un “clic singolo” o semplicemente visualizzando in anteprima il documento dannoso attraverso strumenti di supporto (ms-msdt) e strumenti di amministrazione del sistema (PowerShell) preinstallato su Windows.

Diversi ricercatori hanno confermato che la vulnerabilità interessa più versioni di Microsoft Office, tra cui Office, Office 2016 e Office 2021, sebbene anche altre versioni dovrebbero essere vulnerabili.

Inoltre, Richard Warren di NCC Group è riuscito a dimostrare un exploit su Office Professional Pro con le patch di aprile 2022 in esecuzione su un computer Windows 11 aggiornato con il riquadro di anteprima abilitato.

L’exploit potrebbe essere sfruttato per accedere alla rete locale e rubare le password hash di Windows.

“Microsoft dovrà correggerlo in tutte le varie offerte di prodotti e i fornitori di sicurezza avranno bisogno di rilevamento e blocco robusti”, ha affermato Beaumont.

 

https://thehackernews.com/2022/05/watch-out-researchers-spot-new.html

https://www.punto-informatico.it/follina-vulnerabilita-zero-day-microsoft-office/

 

 

Twitter
Visit Us
LinkedIn
Share
YOUTUBE