Microsoft potvrdil zero-day zranitelnost Follina

Bezpečnostní díra, nyní evidována jako CVE-2022-30190, byla objevena poté, co expert vystupující pod přezdívkou „nao_sec“ ohlásil nález škodlivého wordovského souboru určeného ke spuštění libovolného kódu PowerShellu. Soubor byl na server VirusTotal nahrán z Běloruska.

Výzkumník Kevin Beaumont, který byl mezi prvními, kdo exploit analyzoval, se rozhodl pojmenovat jej „Follina“, protože škodlivý soubor odkazuje na 0438, což je směrové číslo italské vesnice Follina.

Krátce nato vyšlo najevo, že společnost Microsoft o zranitelnosti ví již od dubna, kdy ji na ni upozornil „CrazymanArmy“ z výzkumného týmu Shadow Chaser Group, který se zaměřuje na lov a analýzu APT.

Zdá se, že Microsoft ji zpočátku klasifikoval jako „problém nesouvisející se zabezpečením“, přestože bezpečnostní expert v dubnu společnost informoval, že vzorek zneužívající tuto chybu byl detekován „v terénu“. Technologický gigant později výzkumníka informoval, že „problém byl opraven“, ale záplata podle všeho k dispozici není.

Follina byla původně popsána jako zranitelnost nultého dne ohrožující Microsoft Office, ale Microsoft tvrdí, že ve skutečnosti postihuje nástroj MSDT (Microsoft Support Diagnostic Tool), který shromažďuje informace odesílané na podporu Microsoftu.

„Zranitelnost vzdáleného spuštění kódu vznikne, když je MSDT volán pomocí protokolu URL z volající aplikace, jako je Word. Útočník, který tuto zranitelnost úspěšně zneužije, může spustit libovolný kód s právy volající aplikace. Útočník pak může instalovat programy, prohlížet, měnit nebo mazat data nebo vytvářet nové účty v kontextu povoleném právy uživatele,“ vysvětluje společnost Microsoft ve svém vyjádření týkajícím se CVE-2022-30190.

Na rozdíl od jiných exploitů zahrnujících dokumenty se tento útok nespoléhá na makra a škodlivý kód se spustí, i když jsou makra zakázána.

Návnada na exploit Follina

Rich Warren ze společnosti NCC Group identifikoval jedno z možných lákadel používaných k doručení exploitu – jde o vydírání. Beaumont viděl jiný vzorek, který využíval pozvánku na rozhovor s rozhlasovou stanicí Sputnik a zřejmě cílil na ruské uživatele.

Stejnou návnadu zaznamenali výzkumníci společnosti Malwarebytes v dubnu, ale tehdy nemohli provést úplné šetření, protože některé komponenty nebyly k dispozici.

Výzkumníci potvrdili, že zneužití funguje v sadách Office Pro Plus, Office 2013, Office 2016, Office 2019 a Office 2021.

Podle společnosti Microsoft se zranitelnost týká systémů Windows 7, Windows 8.1, Windows 10, Windows 11, Windows Server 2008, Windows Server 2012, Windows Server 2016, Windows Server 2019 a Windows Server 2022.

Společnost Microsoft vydala pokyny k této zranitelnosti vzdáleného spuštění kódu, včetně řešení a informací o nových aktualizacích Defenderu určených k detekci a blokování souborů a chování spojených s touto hrozbou.

Analýzu zneužití zveřejnily různé firmy zabývající se kybernetickou bezpečností, včetně společností Huntress, Malwarebytes a Sophos. K dispozici jsou také nejméně dva proof-of-concepty (PoC) exploitu.

V době psaní tohoto článku se zdá, že detekce těchto škodlivých dokumentů na základě údajů z VirusTotal jsou stále nízké.

Zdroj: Securityweek.com