Follina (vulnerabilità)
|
Quest articol chì l'è scrivud in lombard, con la Noeuva Ortografia Lombarda |
Follina (classifegad CVE-2022-30190) a l'è stada una vulnerabilità zero day nonziada in del masg 2022 ma sgiamò segnalada in l'avril, che la permet, a travers de 'n ducument Office fad aposta, de menà a l'esecuzzion de codes arbitrari.
L'è stada classifegada del CSIRT italian 'me 7,8 (grama) in su la scala CVSS.
Storia Modifega
La vulnerabilità l'è segnalada a la Microsoft el 12 de avril del 2022 del crazyman, capo del colletiv Shadowchasing1, denter a 'n ducument diret a la Russia e vestid 'me proposta de lavorà. L'azienda la scerniss de desmeter el cas, a dì che l'è no un ris'c per la sigurezza.
Se cred che, in del fratemp, la Microsoft l'habia provad a sistemà el problema, senza nonziàll in publegh e senza dàgh un codes de vulnerabilità, soratut senza reussìgh.
El 27 de masg Nao Sec l'ha dad foeura un esempi de ducument che 'l dopera la vulnerabilità in sgir per la Bielorussia, e la Microsoft l'è contatada ancamò in del midem dì. El 29 de masg l'Andy Ful el nonzia publegament el zero day e l'azienda de Redmond la nonzia publegament la vulnerabilità el dì dopo.
In di dì dopo l'è semper stada vista pussee in natura, soratut grazzia a la popolarità di programa colpid e a la bassa interazzion de part de l'utent per fà partì la vulnerabilità.
El 14 de sgiugn a l'è sistemada de la Microsoft e 'l giornament l'è dad foeura al publegh.
Vulnerabilità conligade Modifega
In del midem period l'è descoverta la vulnerabilità "DogWalk", anca lee in MSDT, che la permet, a travers de 'n directory traversal attack, de meter un quajcoss in la directory de l'avio automategh, roba che la permetaria de fà partì un malware al prim avio del computer dopo che l'è mitud.
Fonzionament Modifega
La vulnerabilità la carega 'na referenza de foeura 'me HTML, che la gh'ha dent un file che 'l ciama, in d'un script, un oget con protocoll ms-msdt, doperad del Microsoft Support Diagnostic Tool, o ben la diagnostega de sistema, insema a 'na vulnerabilità pussee che, se 'l file ciamad de quell tool lì l'è pussee gran de 4096 byte, la domanda nissuna password o ciav per andà inanz, roba che la mena poeu a eseguì un script PowerShell arbitrari.
In di ducument vist in modalità protesgiuda el fonziona nò, ma l'è assee metij in Rich Text Format per permeter, in vari cas, l'esecuzzion domà anca a vidé l'anteprima del file.
Mitigazzion Modifega
A l'è possibel mitigà la vulnerabilità a s'cepà el ligam in tra la stringa ms-msdt e 'l protocoll diagnostegh. La pupart di antivirus l'ha tacad a recognosser, almen in part, i file che doperen la vulnerabilità dopo che l'è stada nonziada.
Origin del nom Modifega
El nom l'è stad catad foeura del ricercator Kevin Beaumont in onor del comun veneto de Follina, el che codes telefonegh l'éra dent al non de vun di prim esempi vist de la vulnerabilità. L'ha scernud el nom in tra i vari comun quatad del quell codes lì perchè "ghe somejava quell che 'l faseva men de pagura".
Riferiment Modifega
- Microsoft Windows Support Diagnostic Tool (MSDT) Remote Code Execution Vulnerability
- Microsoft Office zero-day “Follina”—it’s not a bug, it’s a feature! (It’s a bug)
- Follina: vulnerabilità 0-day in prodotti Microsoft (AL01/220531/CSIRT-ITA)
- Zero-day bug exploited by attackers via macro-less Office documents (CVE-2022-30190)
- MSDT_CVE-2022-30190
- Occhio ai documenti Word, una falla di Windows consente di usarli per attacchi informatici
- Microsoft won’t say if it will patch critical Windows vulnerability under exploit
- Microsoft patches Follina
- "DogWalk", another Microsoft-ignored MSDT vulnerability like Follina gets unofficial patch