Una minaccia sotto forma di documento Office è stata nuovamente vista in natura. 

Si tratta di una falla di sicurezza già segnalata a Microsoft in aprile quando l’analista Kevin Beaumont ne ha trovato traccia in attacchi contro obiettivi russi (anche se VirusTotal indica obiettivi anche Bielorussi): questa segnalazione però non ha portato dei rimedi immediati, anzi, la società di Redmond ha ignorato inizialmente la questione indicandola come una questione “non di sicurezza”. 

In concreto si tratta della vulnerabilità CVE-2022-30190, ora salita agli altari della cronaca dopo che l’Unità 42 di Palo Alto ne ha evidenziato tracce di utilizzo in natura, benché ancora come semplici prove (hanno visto dalla telemetria dei loro clienti l’attivazione mediante questa debolezza di eseguibili “benigni” quali calc e notepad: per ora “benigni”).  

La vulnerabilità consiste nella possibilità di aggirare le limitazioni nell’esecuzione di macro per i documenti Office mediante i modelli remoti (quindi scaricati via Internet da sito malevolo all’insaputa della vittima) ed in grado di eseguire codice PowerShell mediante lo schema URI “ms-msdt” di Office, schema che consente di attivare MSTD (Microsoft Windows Support Diagnostic Tool, un pacchetto di risoluzione dei problemi dalla riga di comando) e da questo poi, per via della sua vulnerabilità, consentire l’esecuzione di codice remoto. La questione è grave in quanto questo consente l’esecuzione di codice remoto con medesimi privilegi dell’applicazione in esecuzione (Office) e perché già esistono dei modelli di esecuzione “zero-click” del medesimo attacco, ossia senza la necessità di interazione da parte dell’utente. 

La delivery della minaccia ovviamente ancora una volta è uno dei metodi preferiti dagli agenti di minaccia, l’email, così come l’occultamento è realizzato semplicemente incapsulando di archivi rar in codice base64 (per il trasporto in formati testuali), così come pure le azioni sono definite in codice PowerShell. Insomma tutto l’arsenale “canonico” delle minacce di questo genere. La differenza questa volta la fanno la debolezza di strumentazione Microsoft per la diagnostica che offrono la sponda per l’esecuzione del codice remoto in una nuova forma ancora ignota, nella classica postura LoTL (Living of The Land). 

La storia di questa minaccia si tinge però anche (indebitamente) di tricolore quando proprio Kevin Beaumont ribattezza questa vulnerabilità come “Follina”, non per coincidenza ma proprio per volere dell’analista, nome di un comune del trevigiano (https://www.comune.follina.tv.it/home.html) il cui prefisso telefonico (0438) coincide con una sequenza di byte osservabili nel campione del payload di attacco, coincidenti in parte del nome di un archivio rar utilizzato per il trasporto delle componenti. Insomma non più di una coincidenza che ha portato però, suo malgrado, nel mondo della Cybersecurity il comune italiano, già membro del club dei Borghi più belli d'Italia e insignito dal TCI (Touring Club Italiano) del marchio di qualità rispetto alle qualità turistico-ambientali: forse visibilità maggiormente gradite dai suoi abitanti. 

Tornando alla vulnerabilità, solo ora Microsoft ritratta sulla questione e fornisce una guida per la protezione rispetto al problema, senza però ancora costituire una vera e propria correzione strutturata: si parla di workaround e non di patch (vedi https://msrc-blog.microsoft.com/2022/05/30/guidance-for-cve-2022-30190-microsoft-support-diagnostic-tool-vulnerability/), che essenzialmente consiste nel disabilitare (senza se e senza ma) lo schema MS-MSDT tramite riconfigurazione di chiave di registro, inibendo così lo scarico del modello da remoto, con buona pace di tutti coloro che ne utilizzavano alcuni legittimamente. 

Gli analisti convengono comunque sulla necessità di correre subito ai ripari mediante questo rimedio in attesa di tempi migliori (leggi patch).

Tweet