Milano, 7 giugno 2022
L'attaccante si infiltra nella rete della vittima distribuendo un documento Microsoft Word (.docx) o Rich Text Format (.rtf) appositamente progettato che contiene un link a un allegato HTML esterno dannoso. Allo stesso tempo, quando viene aperto, il documento preparato dall'aggressore lancia MSDT, uno strumento di risoluzione dei problemi di Windows che raccoglie informazioni e le segnala all'assistenza Microsoft. La riga di comando fornita a MSDT tramite l'URL distribuito provoca l'esecuzione di codice non attendibile.
Questo consente all'attaccante di distribuire e installare programmi dannosi sul computer della vittima (compresi i controller di dominio vulnerabili), nonché di rubare i dati memorizzati e creare nuovi account con pieni diritti utente. Nel complesso, l'attaccante può passare qualsiasi comando da eseguire sul sistema della vittima con i privilegi dell'utente che ha aperto il documento di testo. Inoltre, il comando può essere trasmesso al sistema bersaglio anche nel caso in cui la vittima abbia aperto il documento in modalità protetta o addirittura nel caso in cui non lo abbia aperto affatto.
I prodotti Kaspersky proteggono dagli attacchi che sfruttano questa vulnerabilità e rilevano l'impianto dannoso come:
· PDM:Exploit.Win32.Generic
· HEUR:Exploit.MSOffice.Agent.n
· HEUR:Exploit.MSOffice.Agent.gen
· HEUR:Exploit.MSOffice.CVE-2017-0199.a
· HEUR:Exploit.MSOffice.CVE-2021-40444.a
· HEUR:Exploit.MSOffice.Generic
"Una volta segnalata una vulnerabilità precedentemente sconosciuta, i criminali informatici intensificano la loro attività per trarre il massimo vantaggio dalla situazione. La vulnerabilità Follina ne è un esempio. Abbiamo osservato numerosi tentativi di sfruttare la vulnerabilità nei prodotti MS Office sulle reti aziendali e prevediamo che il numero di tali attacchi crescerà. La vulnerabilità potrebbe essere sfruttata per vari motivi, dalla fuga di dati agli attacchi ransomware. Stiamo monitorando attentamente il panorama delle vulnerabilità per migliorare il rilevamento generico di Follina. Pertanto, raccomandiamo vivamente agli utenti di affidarsi alle più recenti informazioni sulle minacce e di installare soluzioni di sicurezza che individuino in modo proattivo sia le minacce note che quelle sconosciute", ha commentato Alexander Al. Kolesnikov, esperto di sicurezza di Kaspersky.
Per rimanere protetti, gli esperti Kaspersky consigliano anche di seguire le raccomandazioni di Microsoft: Guidance for CVE-2022-30190 Microsoft Support Diagnostic Tool Vulnerability. In particolare, per prevenire lo sfruttamento di questa vulnerabilità, è possibile disabilitare il supporto dell'URL del protocollo MSDT seguendo questi passaggi:
1. Eseguire il Prompt dei comandi come amministratore.
2. Per eseguire il backup delle registry key modificate, eseguire il comando 'reg export HKEY_CLASSES_ROOT\ms-msdt filename'.
3. Eseguire il comando per disabilitare il supporto URL MDST 'reg delete HKEY_CLASSES_ROOT\ms-msdt /f'.