Skip to main

Milano, 7 giugno 2022

Il 27 maggio i ricercatori hanno scoperto una nuova vulnerabilità zero-day in Microsoft Office, denominata Follina che consente ai criminali informatici di eseguire codice dannoso da remoto sui sistemi delle loro vittime sfruttando una vulnerabilità nell'MSDT (Microsoft Diagnostics Tool) attraverso documenti di testo compromessi. Per questa vulnerabilità zero-day non è stata ancora rilasciata una patch, pertanto i ricercatori di Kaspersky hanno previsto un numero crescente di attacchi che utilizzano la vulnerabilità Follina.

L'attaccante si infiltra nella rete della vittima distribuendo un documento Microsoft Word (.docx) o Rich Text Format (.rtf) appositamente progettato che contiene un link a un allegato HTML esterno dannoso. Allo stesso tempo, quando viene aperto, il documento preparato dall'aggressore lancia MSDT, uno strumento di risoluzione dei problemi di Windows che raccoglie informazioni e le segnala all'assistenza Microsoft. La riga di comando fornita a MSDT tramite l'URL distribuito provoca l'esecuzione di codice non attendibile.

Questo consente all'attaccante di distribuire e installare programmi dannosi sul computer della vittima (compresi i controller di dominio vulnerabili), nonché di rubare i dati memorizzati e creare nuovi account con pieni diritti utente. Nel complesso, l'attaccante può passare qualsiasi comando da eseguire sul sistema della vittima con i privilegi dell'utente che ha aperto il documento di testo. Inoltre, il comando può essere trasmesso al sistema bersaglio anche nel caso in cui la vittima abbia aperto il documento in modalità protetta o addirittura nel caso in cui non lo abbia aperto affatto.

Complessivamente, dall'inizio di maggio 2022 al 3 giugno, i prodotti Kaspersky hanno rilevato oltre 1.000 tentativi di sfruttamento della vulnerabilità appena scoperta. Circa il 40% di questi tentativi sono stati registrati negli Stati Uniti, seguiti da Vietnam (8,3%) e Pakistan (8,2%). Allo stesso tempo, la situazione è diversa se diamo un'occhiata all'elenco dei Paesi classificati in base agli utenti unici più colpiti: il Pakistan è in testa con quasi il 45% degli utenti colpiti, seguito dalla Russia (6,5%) e dagli Stati Uniti (4,32%). Da notare che si tratta di record di nuovi verdetti specifici per la nuova vulnerabilità Follina scoperta di recente, ma i tentativi di sfruttamento possono essere rilevati anche da altri verdetti.

I prodotti Kaspersky proteggono dagli attacchi che sfruttano questa vulnerabilità e rilevano l'impianto dannoso come:

·       PDM:Exploit.Win32.Generic

·       HEUR:Exploit.MSOffice.Agent.n

·       HEUR:Exploit.MSOffice.Agent.gen 

·       HEUR:Exploit.MSOffice.CVE-2017-0199.a

·       HEUR:Exploit.MSOffice.CVE-2021-40444.a

·       HEUR:Exploit.MSOffice.Generic

"Una volta segnalata una vulnerabilità precedentemente sconosciuta, i criminali informatici intensificano la loro attività per trarre il massimo vantaggio dalla situazione. La vulnerabilità Follina ne è un esempio. Abbiamo osservato numerosi tentativi di sfruttare la vulnerabilità nei prodotti MS Office sulle reti aziendali e prevediamo che il numero di tali attacchi crescerà. La vulnerabilità potrebbe essere sfruttata per vari motivi, dalla fuga di dati agli attacchi ransomware. Stiamo monitorando attentamente il panorama delle vulnerabilità per migliorare il rilevamento generico di Follina. Pertanto, raccomandiamo vivamente agli utenti di affidarsi alle più recenti informazioni sulle minacce e di installare soluzioni di sicurezza che individuino in modo proattivo sia le minacce note che quelle sconosciute", ha commentato Alexander Al. Kolesnikov, esperto di sicurezza di Kaspersky.

Per rimanere protetti, gli esperti Kaspersky consigliano anche di seguire le raccomandazioni di Microsoft: Guidance for CVE-2022-30190 Microsoft Support Diagnostic Tool Vulnerability. In particolare, per prevenire lo sfruttamento di questa vulnerabilità, è possibile disabilitare il supporto dell'URL del protocollo MSDT seguendo questi passaggi:

1. Eseguire il Prompt dei comandi come amministratore.

2. Per eseguire il backup delle registry key modificate, eseguire il comando 'reg export HKEY_CLASSES_ROOT\ms-msdt filename'.

3. Eseguire il comando per disabilitare il supporto URL MDST 'reg delete HKEY_CLASSES_ROOT\ms-msdt /f'.



Gli esperti di Kaspersky prevedono un aumento degli attacchi che sfruttano la vulnerabilità Follina di MS Office

Kaspersky Logo