CyberSecurity,  Vulnerabilità

Follina

Ufficialmente identificata come CVE 2022-30190, ha un punteggio di gravità di 7.8 su 10 (CVSS v3.1) secondo il Common Vulnerability Scoring System (CVSS).

La vulnerabilità è stata segnalata pubblicamente a maggio 2022 su Twitter da diversi ricercatori.

In seguito, è stata riconosciuta da Microsoft come minaccia, assegnandogli il codice di tracciamento CVE-2022-30190.

La vulnerabilità interessa il prodotto Microsoft Support Diagnostic Tool.

Soprannominata Follina, lo sfruttamento di questa vulnerabilità permette l’esecuzione arbitraria di codice all’interno di tutte le versioni Microsoft Office e di tutti i sistemi Microsoft Windows attualmente distribuiti in oltre 1 miliardo di dispositivi; centinaia di milioni di dispositivi sono potenzialmente vulnerabili rendendo considerevole l’impatto di Follina.

La vulnerabilità viene sfruttata durante le campagne di distribuzione malware per veicolare payload malevoli.

Sono state identificate campagne che sfruttano Follina finalizzate alla diffusione del noto malware Qakbot.

Di solito, l’e-mail si presenta con in allegato un file .doc, .docx, .lnk o un file HTML che all’apertura esegue una richiesta per scaricare il malware dal server remoto controllato dal cybercriminale.

Sfruttando Follina, i cybercriminali non hanno bisogno di macro per l’iniziazione del processo di infezione, rendendo così superflui i sistemi di sicurezza informatica preposti alla scansione di file contenenti macro malevole e, di conseguenza, più difficoltosa la ricerca e la rilevazione di distribuzioni malware all’interno di un’infrastruttura bersaglio.

Le notizie successive di potenziali attacchi che sfruttano la CVE-2022-30190 hanno fatto sì che diverse agenzie nazionali di cybersecurity pubblicassero degli avvertimenti.

Di seguito le note di aggiornamento relative alla vulnerabilità Follina e a possibili workaround/remediation rilasciati dal CSIRT Italia, dal CERT AgID e da Microsoft in relazione ai suoi prodotti; le soluzioni consigliate con relativa comandistica qualora non sia possibile l’aggiornamento automatico, nonché una serie di link che potrebbero rivelarsi utili all’attuazione delle remediation.

Si noti che i link e i diversi riferimenti sono in costante aggiornamento e per questo potrebbero variare.

Sono stati rilasciati sui portali proprietari pubblici https://www.csirt.gov.it/contenuti/follina-vulnerabilita-0-day-in-prodotti-microsoft-al01-220531-csirt-ita, https://cert-agid.gov.it/news/sintesi-riepilogativa-delle-campagne-malevole-nella-settimana-del-04-10-giugno-2022, https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2022-30190, https://msrc-blog.microsoft.com/2022/05/30/guidance-for-cve-2022-30190-microsoft-support-diagnostic-tool-vulnerability, appositi aggiornamenti al fine di ridurre al minimo l’esposizione delle infrastrutture alla vulnerabilità in analisi.

:: Impatto

Esecuzione di codice arbitrario da remoto con i privilegi dell’applicazione chiamante. Compromissione di un sistema.

:: Soluzioni

In linea con le dichiarazioni del vendor, si consiglia di applicare le mitigazioni disponibili seguendo le indicazioni riportate nel bollettino di sicurezza di Microsoft.

https://msrc-blog.microsoft.com/2022/05/30/guidance-for-cve-2022-30190-microsoft-support-diagnostic-tool-vulnerability

La disabilitazione del protocollo URL MSDT impedisce l’avvio di strumenti di risoluzione dei problemi come collegamenti, inclusi i collegamenti in tutto il sistema operativo.

Trojan:Win32/Mesdetty.B

Comportamento: Win32/MesdettyLaunch.A!blk

Trojan:Win32/MesdettyScript.A

Trojan:Win32/MesdettyScript.B

Comportamento: Win32/MesdettyPayload.B

Comportamento: Win32/MesdettyLaunch.D

Deve essere attivata su Microsoft Defender Antivirus la protezione fornita dal cloud e l’invio automatico dei campioni.

Queste funzionalità utilizzano l’intelligenza artificiale e l’apprendimento automatico per identificare e bloccare rapidamente le minacce nuove e sconosciute.

Microsoft Defender for Endpoint fornisce rilevamenti e avvisi agli utenti.

Il titolo di avviso seguente nel portale di Microsoft 365 Defender può indicare l’attività di minaccia sulla rete:

Comportamento sospetto di un’applicazione di Office

Comportamento sospetto di Msdt.exe

Microsoft Defender for Endpoint attraverso le sue funzionalità di ispezione della rete ha creato un rilevamento basato sulla rete per intercettare eventuali exploit per questa vulnerabilità sulla rete interna.

Possibile tentativo di sfruttamento di CVE-2022-30190

Microsoft Defender for Office 365 fornisce rilevamenti e protezione per i messaggi di posta elettronica contenenti documenti dannosi o URL utilizzati per sfruttare questa vulnerabilità.

:: NIST

https://nvd.nist.gov/vuln/detail/CVE-2022-30190

:: Microsoft

https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2022-30190

https://msrc-blog.microsoft.com/2022/05/30/guidance-for-cve-2022-30190-microsoft-support-diagnostic-tool-vulnerability

:: CSIRT Italia

https://www.csirt.gov.it/contenuti/follina-vulnerabilita-0-day-in-prodotti-microsoft-al01-220531-csirt-ita

:: CERT AgID

https://cert-agid.gov.it/news/sintesi-riepilogativa-delle-campagne-malevole-nella-settimana-del-04-10-giugno-2022

:: Mitre’s CVE ID

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-30190

Potrebbe piacerti anche

I 9 Comandamenti
Giugno 7, 2023
Log4Shell
Giugno 8, 2023
NFT
Luglio 26, 2023