Ερευνητές προειδοποιούν για νέο zero-day κενό ασφαλείας στο Microsoft Office, με το όνομα Follina

Στις 27 Μαΐου, ένας ερευνητής της Nao_Sec δημοσίευσε στο Twitter ότι ανακάλυψε ένα αρχείο Word με περίεργη εμφάνιση με τίτλο 05-2022-0438.doc που ανέβηκε στο VirusTotal από μια διεύθυνση IP με έδρα τη Λευκορωσία. Η ομάδα, συμπεριλαμβανομένου του ερευνητή Kevin Beaumont, άρχισε στη συνέχεια να εξετάζει το κακόβουλο λογισμικό.Το κενό ασφαλείας ονομάστηκε Follina, λόγω του ότι στο όνομα του αρχείου που το φέρει, υπάρχει ο αριθμός 0438, ο οποίος είναι ο κωδικός περιοχής ενός δήμου στο Τρεβίζο της Ιταλίας, που ονομάζεται Follina.

Περαιτέρω έρευνα αποκάλυψε ότι το zero-day θα μπορούσε να εκμεταλλευθεί για να εκτελέσει κώδικα σε ευάλωτες συσκευές με λειτουργικό σύστημα Windows. Οι ερευνητές της Nao_Sec εξήγησαν σε ανάρτηση ιστολογίου ότι οι εισβολείς χρησιμοποίησαν τον εξωτερικό σύνδεσμο του MS Word για τη φόρτωση του HTML και αργότερα χρησιμοποίησαν το σχήμα «ms-msdt» για την εκτέλεση κώδικα PowerShell.

Το Εργαλείο διάγνωσης υποστήριξης της Microsoft ή το MSDT είναι ένα βοηθητικό πρόγραμμα που χρησιμοποιείται για τη συλλογή και αντιμετώπιση προβλημάτων διαγνωστικών δεδομένων, προκειμένου οι ειδικοί υποστήριξης να αναλύσουν και να επιλύσουν το πρόβλημα. Συνήθως, τα έγγραφα MS Word χρησιμοποιούνται για την εκτέλεση κώδικα μέσω κακόβουλων μακροεντολών. Ωστόσο, σε αυτήν την περίπτωση, η ερευνητική ομάδα Nao_Sec διαπίστωσε ότι ο κώδικας εκτελείται ακόμη και όταν οι μακροεντολές είναι απενεργοποιημένες.

Επιπλέον, το Microsoft Defender δεν μπορεί επίσης να αποτρέψει την εκτέλεση του κακόβουλου κώδικα προς το παρόν και ο Beaumont ανέφερε ότι η προστατευμένη προβολή δεν ενεργοποιείται ακόμη και όταν άλλαξαν το αρχείο σε μορφή RTF και εκτελείται ακόμη και χωρίς να ανοίξει το αρχείο.

Άλλοι ερευνητές, όπως ο Didier Stevens και ο Rich Warren του NCC Group, εκτός από τον Kevin Beaumont, επιβεβαίωσαν επίσης ότι αυτό το ελάττωμα zero-day θα μπορούσε να αξιοποιηθεί εξ αποστάσεως για την εκτέλεση κακόβουλου κώδικα σε διάφορες εκδόσεις του MS Office και των MS Windows.

Ο Beaumont δοκίμασε το ελάττωμα σε πολλές εκδόσεις του Office, όπως το Office Pro Plus, το Office 2013, το Office 2016 και το Office 2021 και διαπίστωσε ότι δεν λειτουργούσε με τις πιο πρόσφατες εκδόσεις του Office και του Insider. Αυτό υποδηλώνει ότι η Microsoft εργάζεται σε μια ενημέρωση για αυτή την ευπάθεια.