Follina; il solito file Word che infetta Windows (ma non proprio)

[next]

Di file di Word contenenti macrovirus o allegati infetti ce ne sono stati un numero inverosimile.
La falla CVE-2022-30190, nota più semplicemente come Follina [1] ripropone lo stesso schema ma ha delle singolarità notevoli. I file Word che sfruttano questa falla non hanno macro ne allegati ma sono in grado di invocare il file
(...)/windows/system32/msdt.exe
che corrisponde all'applicazione Microsoft Support Diagnostic Tool (quell'inutile procedura guidata che dovrebbe risolvere i vari problemi di Windows). Attraverso msdt.exe diventa possibile seguire comandi, installare software, etc.

Aspetto interessante è che per i file doc/docx l'attacco richiede l'apertura del file in Word mentre per i file rtf è sufficiente che Windows ne mostri l'anteprima (che è una delle prime cose che andrebbero disabilitate...). In sostanza quindi la falla è più di Windows che di Word, non ché questo cambi di molto la situazione.

Mitiga il problema il fatto che msdt.exe viene lanciato con i diritti dell'utente corrente (che dovrebbe sempre essere un utente limitato). Se il firewall è settato in maniera rigida inoltre, msdt.exe non avrà accesso alla rete per cui l'attaccante dovrà trovare modi più creativi per sottrarre informazioni e scaricare altro malware.

Volendo c'è anche il workaround di Microsoft:
https://msrc-blog.microsoft.com/2022/05 ... erability/

[1] Follina è un comune italiano nel Veneto. Lo scopritore della vulnerabilità ha scelto questo nome perché nel nome del file infetto che stava esaminando c'era il codice 0438 che (sfortunatamente) è anche il prefisso di quella zona
https://doublepulsar.com/follina-a-micr ... 47fce5629e

[leofelix]

Ti ringrazio per queste informazioni.
Ho atteso perchè ho voluto approfondire un po'.
Leggo da https://msrc.microsoft.com/update-guide ... 2022-30190
che è richiesta l'interazione dell'utente, visto che per sfruttare la vulnerabilità è necessario aprire un documento infetto distribuito via campagna di mailspam.
Volendo è anche possibile impedire a MS Office di creare "processi figli" (Child processes), si può fare dall'antiexploit integrato, come qui descritto
https://docs.microsoft.com/en-us/micros ... processes=

Chi usa Configure Defender lo potrà fare dal programmino stesso.

Volendo 0Patch ha creato una micro patch non ufficiale
https://blog.0patch.com/2021/12/micropa ... -code.html

Ma, alla fine, un utente con un minimo di esperienza non aprirà un allegato del genere, non avrà l'anteprima abilitata e l'utente inesperto non applicherà alcuna delle soluzioni temporanee applicate, potrà comunque fare affidamento sulle rilevazioni di Microsoft Defender.

Un portavoce della Microsoft ha scritto a bleepingcomputer che è sufficiente usare il buon senso per evitare problemi
https://www.bleepingcomputer.com/news/s ... nightmare/

“This social engineering technique requires a user to run a malicious document and interact with a list of executables from an attacker specified network share. We recommend users practice safe computing habits and to only open files that come from trusted sources.” – a Microsoft spokesperson.

[next]

Grazie, non conoscevo ConfigureDefender... sembra interessante.
Ci dovrò dare un'occhiata appena trovo il tempo.

[leofelix]

Grazie, non conoscevo ConfigureDefender... sembra interessante.
Ci dovrò dare un'occhiata appena trovo il tempo.

Prego, lo trovi qui
https://github.com/AndyFul/ConfigureDefender
volendo anche su Softpedia
https://www.softpedia.com/get/PORTABLE- ... nder.shtml
E' portable, freeware ma non in italiano, funziona egregiamente anche con Windows 11, è molto intuitivo.
Nel forum di Malwaretips ci sono ampie discussioni in merito dove partecipa anche lo sviluppatore, be' anche nei forum di Wilderssecurity se ne parla