Il 27 maggio i ricercatori hanno scoperto una nuova vulnerabilità zero-day in Microsoft Office, denominata Follina che consente ai criminali informatici di eseguire codice dannoso da remoto sui sistemi delle loro vittime sfruttando una vulnerabilità nell’MSDT (Microsoft Diagnostics Tool) attraverso documenti di testo compromessi. Per questa vulnerabilità zero-day non è stata ancora rilasciata una patch, pertanto i ricercatori di Kaspersky hanno previsto un numero crescente di attacchi che utilizzano la vulnerabilità Follina.
L’attaccante si infiltra nella rete della vittima distribuendo un documento Microsoft Word (.docx) o Rich Text Format (.rtf) appositamente progettato che contiene un link a un allegato HTML esterno dannoso. Allo stesso tempo, quando viene aperto, il documento preparato dall’aggressore lancia MSDT, uno strumento di risoluzione dei problemi di Windows che raccoglie informazioni e le segnala all’assistenza Microsoft. La riga di comando fornita a MSDT tramite l’URL distribuito provoca l’esecuzione di codice non attendibile.
Questo consente all’attaccante di distribuire e installare programmi dannosi sul computer della vittima (compresi i controller di dominio vulnerabili), nonché di rubare i dati memorizzati e creare nuovi account con pieni diritti utente. Nel complesso, l’attaccante può passare qualsiasi comando da eseguire sul sistema della vittima con i privilegi dell’utente che ha aperto il documento di testo. Inoltre, il comando può essere trasmesso al sistema bersaglio anche nel caso in cui la vittima abbia aperto il documento in modalità protetta o addirittura nel caso in cui non lo abbia aperto affatto.
Complessivamente, dall’inizio di maggio 2022 al 3 giugno, i prodotti Kaspersky hanno rilevato oltre 1.000 tentativi di sfruttamento della vulnerabilità appena scoperta. Circa il 40% di questi tentativi sono stati registrati negli Stati Uniti, seguiti da Vietnam (8,3%) e Pakistan (8,2%). Allo stesso tempo, la situazione è diversa se diamo un’occhiata all’elenco dei Paesi classificati in base agli utenti unici più colpiti: il Pakistan è in testa con quasi il 45% degli utenti colpiti, seguito dalla Russia (6,5%) e dagli Stati Uniti (4,32%). Da notare che si tratta di record di nuovi verdetti specifici per la nuova vulnerabilità Follina scoperta di recente, ma i tentativi di sfruttamento possono essere rilevati anche da altri verdetti.
I prodotti Kaspersky proteggono dagli attacchi che sfruttano questa vulnerabilità e rilevano l’impianto dannoso come:
⦁ PDM:Exploit.Win32.Generic
⦁ HEUR:Exploit.MSOffice.Agent.n
⦁ HEUR:Exploit.MSOffice.Agent.gen
⦁ HEUR:Exploit.MSOffice.CVE-2017-0199.a
⦁ HEUR:Exploit.MSOffice.CVE-2021-40444.a
⦁ HEUR:Exploit.MSOffice.Generic
“Una volta segnalata una vulnerabilità precedentemente sconosciuta, i criminali informatici intensificano la loro attività per trarre il massimo vantaggio dalla situazione. La vulnerabilità Follina ne è un esempio. Abbiamo osservato numerosi tentativi di sfruttare la vulnerabilità nei prodotti MS Office sulle reti aziendali e prevediamo che il numero di tali attacchi crescerà. La vulnerabilità potrebbe essere sfruttata per vari motivi, dalla fuga di dati agli attacchi ransomware. Stiamo monitorando attentamente il panorama delle vulnerabilità per migliorare il rilevamento generico di Follina. Pertanto, raccomandiamo vivamente agli utenti di affidarsi alle più recenti informazioni sulle minacce e di installare soluzioni di sicurezza che individuino in modo proattivo sia le minacce note che quelle sconosciute”, ha commentato Alexander Al. Kolesnikov, esperto di sicurezza di Kaspersky.
Per rimanere protetti, gli esperti Kaspersky consigliano anche di seguire le raccomandazioni di Microsoft: Guidance for CVE-2022-30190 Microsoft Support Diagnostic Tool Vulnerability. In particolare, per prevenire lo sfruttamento di questa vulnerabilità, è possibile disabilitare il supporto dell’URL del protocollo MSDT seguendo questi passaggi:
1. Eseguire il Prompt dei comandi come amministratore.2. Per eseguire il backup delle registry key modificate, eseguire il comando ‘reg export HKEY_CLASSES_ROOT\ms-msdt filename’.
3. Eseguire il comando per disabilitare il supporto URL MDST ‘reg delete HKEY_CLASSES_ROOT\ms-msdt /f’.
Informazioni su Kaspersky
Kaspersky è un’azienda di sicurezza informatica e digital privacy che opera a livello globale fondata nel 1997. La profonda competenza di Kaspersky in materia di threat intelligence e sicurezza si trasforma costantemente in soluzioni e servizi innovativi per proteggere le aziende, le infrastrutture critiche, i governi e gli utenti di tutto il mondo. L’ampio portfolio di soluzioni di sicurezza dell’azienda include la protezione degli Endpoint leader di settore e una serie di soluzioni e servizi specializzati per combattere le minacce digitali sofisticate e in continua evoluzione. Più di 400 milioni di utenti sono protetti dalle tecnologie di Kaspersky e aiutiamo 240.000 clienti aziendali a proteggere ciò che è per loro più importante. Per ulteriori informazioni: https://www.kaspersky.it/
