{"id":26749,"date":"2022-06-02T18:28:45","date_gmt":"2022-06-02T16:28:45","guid":{"rendered":"https:\/\/www.kaspersky.it\/blog\/?p=26749"},"modified":"2022-06-02T18:28:45","modified_gmt":"2022-06-02T16:28:45","slug":"follina-cve-2022-30190-msdt","status":"publish","type":"post","link":"https:\/\/www.kaspersky.it\/blog\/follina-cve-2022-30190-msdt\/26749\/","title":{"rendered":"Follina: file di Office come cavallo di troia"},"content":{"rendered":"<p>I ricercatori hanno scoperto un\u2019altra grave vulnerabilit\u00e0 nei prodotti Microsoft che potenzialmente permette agli hacker di eseguire un codice arbitrario. Il MITRE ha classificato questa vulnerabilit\u00e0 con il nome di <a href=\"https:\/\/msrc.microsoft.com\/update-guide\/en-US\/vulnerability\/CVE-2022-30190\" target=\"_blank\" rel=\"noopener nofollow\">CVE-2022-30190<\/a>, mentre i ricercatori l\u2019hanno chiamata in modo un po\u2019 poetico Follina. La cosa pi\u00f9 preoccupante \u00e8 che non esiste ancora un fix per questo bug e ci\u00f2 che \u00e8 ancor pi\u00f9 grave \u00e8 che la vulnerabilit\u00e0 viene gi\u00e0 sfruttata attivamente da molti criminali informatici. L\u2019aggiornamento \u00e8 in fase di sviluppo, ma nel frattempo consigliamo a tutti gli utenti e amministratori di Windows di utilizzare workaround temporanei.<\/p>\n<h2>Che cos\u2019\u00e8 CVE-2022-30190 e quali sono i prodotti interessati?<\/h2>\n<p>La vulnerabilit\u00e0 CVE-2022-30190 \u00e8 contenuta nello strumento di diagnostica Microsoft Windows Support Diagnostic Tool (al quale ci riferiremo con la sua sigla MSDT), il che non sembra un grosso problema. Purtroppo, a causa dell\u2019implementazione di questo strumento, la vulnerabilit\u00e0 pu\u00f2 essere sfruttata tramite un file MS Office dannoso.<\/p>\n<p>L\u2019MSDT \u00e8 un\u2019applicazione utilizzata per raccogliere automaticamente informazioni diagnostiche e inviarle a Microsoft quando qualcosa non funziona su Windows. Lo strumento pu\u00f2 essere richiamato da altre applicazioni (Microsoft Word \u00e8 l\u2019esempio pi\u00f9 noto) attraverso un protocollo URL speciale di MSDT. Se la vulnerabilit\u00e0 viene sfruttata con successo, un utente malintenzionato pu\u00f2 eseguire un codice arbitrario con i privilegi dell\u2019applicazione che ha richiamato l\u2019MSDT, ovvero, in questo caso, con i diritti dell\u2019utente che ha aperto il file dannoso.<\/p>\n<p>La vulnerabilit\u00e0 CVE-2022-30190 pu\u00f2 essere sfruttata in tutti i sistemi operativi della famiglia Windows, sia desktop che server.<\/p>\n<h2>Come i cyber-criminali sfruttano CVE-2022-30190<\/h2>\n<p>Per capire come funziona un attacco, i ricercatori che hanno scoperto questa vulnerabilit\u00e0 offrono il seguente esempio.<\/p>\n<p>I criminali creano un documento Office dannoso e fanno in modo che la vittima lo riceva. Il modo pi\u00f9 comune per farlo \u00e8 inviare un\u2019e-mail con un allegato dannoso, condito con qualche classico stratagemma di <em>social engineering<\/em> per convincere il destinatario ad aprire il file in questione. Per esempio, un e-mail con un messaggio del tipo \u201ccontrolla urgentemente il contratto, firma domani mattina\u201d potrebbe funzionare.<\/p>\n<p>Il file infetto contiene un link a un file HTML che contiene a sua volta un codice JavaScript capace di eseguire un codice dannoso nella riga di comando tramite l\u2019MSDT. Se lo sfruttamento va a buon fine, gli hacker possono installare programmi, visualizzare, modificare o distruggere dati, nonch\u00e9 creare nuovi account, ovvero avere il via libera all\u2019interno del sistema utilizzando i privilegi della vittima.<\/p>\n<h2>Come proteggersi<\/h2>\n<p>Come menzionato in precedenza, non esiste ancora una patch. Nel frattempo, Microsoft <a href=\"https:\/\/msrc-blog.microsoft.com\/2022\/05\/30\/guidance-for-cve-2022-30190-microsoft-support-diagnostic-tool-vulnerability\/\" target=\"_blank\" rel=\"noopener nofollow\">consiglia<\/a> disabilitare il protocollo URL di MSDT. Per farlo, \u00e8 necessario aprire il prompt dei comandi con diritti di amministratore ed eseguire il comando <code>reg delete HKEY_CLASSES_ROOT\\ms-msdt \/f<\/code>. Prima di farlo, vi raccomandiamo di eseguire un back up del registro eseguendo il seguente codice: <code>reg export HKEY_CLASSES_ROOT\\ms-msdt filename<\/code>. In questo modo, potrete ripristinare velocemente il registro con il comando <code>reg import filename<\/code> non appena questo workaround non sar\u00e0 pi\u00f9 necessario.<\/p>\n<p>Naturalmente, questa \u00e8 solo una misura temporanea e la cosa migliore sarebbe installare, non appena disponibile, l\u2019aggiornamento che corregga la vulnerabilit\u00e0 Follina.<\/p>\n<p>I metodi descritti per sfruttare questa vulnerabilit\u00e0 prevedono l\u2019uso di e-mail con allegati dannosi e metodi di <em>social engineering<\/em>. Pertanto, si consiglia di prestare ancora pi\u00f9 attenzione del normale alle e-mail provenienti da mittenti sconosciuti, in particolare ai file Office allegati. Per le aziende, \u00e8 opportuno <a href=\"https:\/\/k-asap.com\/it\/?icid=it_kdailyplacehold_acq_ona_smm__onl_b2b_kasperskydaily_wpplaceholder____kasap___\" target=\"_blank\" rel=\"noopener\">sensibilizzare regolarmente i dipendenti<\/a> circa i trucchi pi\u00f9 importanti e comuni utilizzati dagli hacker.<\/p>\n<p>Inoltre, tutti i dispositivi con accesso a Internet dovrebbero essere dotati di <a href=\"https:\/\/www.kaspersky.it\/small-to-medium-business-security?icid=it_kdailyplacehold_acq_ona_smm__onl_b2b_kasperskydaily_wpplaceholder_______\" target=\"_blank\" rel=\"noopener\">solide soluzioni di sicurezza<\/a>. Tali soluzioni possono impedire l\u2019esecuzione di codici dannosi sul computer dell\u2019utente anche quando si sfrutta una vulnerabilit\u00e0 sconosciuta.<\/p>\n<input type=\"hidden\" class=\"category_for_banner\" value=\"kesb-trial\">\n","protected":false},"excerpt":{"rendered":"<p>La nuova vulnerabilit\u00e0 CVE-2022-30190, nota come Follina, consente di sfruttare il Windows Support Diagnostic Tool attraverso i file di MS Office.<\/p>\n","protected":false},"author":2698,"featured_media":26751,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[2364,2955,2641,2956],"tags":[1742,3310,584,23],"class_list":{"0":"post-26749","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-business","8":"category-enterprise","9":"category-threats","10":"category-smb","11":"tag-0days","12":"tag-rce","13":"tag-vulnerabilita","14":"tag-windows"},"hreflang":[{"hreflang":"it","url":"https:\/\/www.kaspersky.it\/blog\/follina-cve-2022-30190-msdt\/26749\/"},{"hreflang":"en-in","url":"https:\/\/www.kaspersky.co.in\/blog\/follina-cve-2022-30190-msdt\/24226\/"},{"hreflang":"en-ae","url":"https:\/\/me-en.kaspersky.com\/blog\/follina-cve-2022-30190-msdt\/19707\/"},{"hreflang":"ar","url":"https:\/\/me.kaspersky.com\/blog\/follina-cve-2022-30190-msdt\/9931\/"},{"hreflang":"en-us","url":"https:\/\/usa.kaspersky.com\/blog\/follina-cve-2022-30190-msdt\/26554\/"},{"hreflang":"en-gb","url":"https:\/\/www.kaspersky.co.uk\/blog\/follina-cve-2022-30190-msdt\/24512\/"},{"hreflang":"es","url":"https:\/\/www.kaspersky.es\/blog\/follina-cve-2022-30190-msdt\/27225\/"},{"hreflang":"ru","url":"https:\/\/www.kaspersky.ru\/blog\/follina-cve-2022-30190-msdt\/33255\/"},{"hreflang":"tr","url":"https:\/\/www.kaspersky.com.tr\/blog\/follina-cve-2022-30190-msdt\/10743\/"},{"hreflang":"x-default","url":"https:\/\/www.kaspersky.com\/blog\/follina-cve-2022-30190-msdt\/44461\/"},{"hreflang":"fr","url":"https:\/\/www.kaspersky.fr\/blog\/follina-cve-2022-30190-msdt\/18969\/"},{"hreflang":"pt-br","url":"https:\/\/www.kaspersky.com.br\/blog\/follina-cve-2022-30190-msdt\/19523\/"},{"hreflang":"de","url":"https:\/\/www.kaspersky.de\/blog\/follina-cve-2022-30190-msdt\/28760\/"},{"hreflang":"nl","url":"https:\/\/www.kaspersky.nl\/blog\/follina-cve-2022-30190-msdt\/28301\/"},{"hreflang":"ru-kz","url":"https:\/\/blog.kaspersky.kz\/follina-cve-2022-30190-msdt\/25076\/"},{"hreflang":"en-au","url":"https:\/\/www.kaspersky.com.au\/blog\/follina-cve-2022-30190-msdt\/30588\/"},{"hreflang":"en-za","url":"https:\/\/www.kaspersky.co.za\/blog\/follina-cve-2022-30190-msdt\/30337\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/www.kaspersky.it\/blog\/tag\/vulnerabilita\/","name":"vulnerabilit\u00e0"},"_links":{"self":[{"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/posts\/26749","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/users\/2698"}],"replies":[{"embeddable":true,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/comments?post=26749"}],"version-history":[{"count":3,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/posts\/26749\/revisions"}],"predecessor-version":[{"id":26753,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/posts\/26749\/revisions\/26753"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/media\/26751"}],"wp:attachment":[{"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/media?parent=26749"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/categories?post=26749"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/tags?post=26749"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}