Οι ερευνητές της κυβερνοασφάλειας εξέδωσαν μια προειδοποίηση αφού εντόπισαν κάτι που φαίνεται να είναι μια νέα ευπάθεια του Microsoft Office zero-day που μπορεί να έχει γίνει αντικείμενο εκμετάλλευσης στην άγρια φύση.
Στις 27 Μαΐου, ένας ερευνητής που χρησιμοποιεί το διαδικτυακό ψευδώνυμο «nao_sec» ανέφερε στο Twitter ότι είχε βρει ένα ενδιαφέρον κακόβουλο έγγραφο στην υπηρεσία σάρωσης κακόβουλου λογισμικού VirusTotal. Το κακόβουλο αρχείο Word, που μεταφορτώθηκε από τη Λευκορωσία, έχει σχεδιαστεί για να εκτελεί αυθαίρετο κώδικα PowerShell όταν ανοίγει.
Το κακόβουλο λογισμικό αναλύθηκε αργότερα από πολλούς άλλους, συμπεριλαμβανομένου του ερευνητή Kevin Beaumont, ο οποίος δημοσίευσε μια ανάρτηση ιστολογίου που περιγράφει λεπτομερώς τα ευρήματά του την Κυριακή.
«Το έγγραφο χρησιμοποιεί τη δυνατότητα απομακρυσμένου προτύπου Word για να ανακτήσει ένα αρχείο HTML από έναν απομακρυσμένο διακομιστή ιστού, ο οποίος με τη σειρά του χρησιμοποιεί το σχήμα ms-msdt MSProtocol URI για να φορτώσει κάποιο κώδικα και να εκτελέσει κάποιο PowerShell», εξήγησε ο Beaumont, προσθέτοντας: «Αυτό δεν πρέπει να είναι δυνατόν.”
Ο ερευνητής σημείωσε ότι ο κώδικας εκτελείται ακόμη και αν οι μακροεντολές είναι απενεργοποιημένες — τα κακόβουλα έγγραφα του Word χρησιμοποιούνται συνήθως για την εκτέλεση κώδικα μέσω μακροεντολών. Το Microsoft Defender προς το παρόν δεν φαίνεται να είναι ικανό να αποτρέψει την εκτέλεση.
«Η Προστατευμένη προβολή ξεκινά, αν και αν αλλάξετε το έγγραφο σε μορφή RTF, εκτελείται χωρίς καν να ανοίξετε το έγγραφο (μέσω της καρτέλας προεπισκόπησης στον Explorer) πόσο μάλλον από την Προστατευμένη προβολή», είπε ο Beaumont.
Ο ερευνητής αποφάσισε να ονομάσει την ευπάθεια zero day “Follina” επειδή το κακόβουλο αρχείο αναφέρεται στο 0438, που είναι ο κωδικός περιοχής του Follina, ενός χωριού στην Ιταλία.
Περίπου το ένα τρίτο των προμηθευτών στο VirusTotal εντοπίζουν το κακόβουλο έγγραφο τη στιγμή της σύνταξης.
Beaumont και άλλοι – συμπεριλαμβανομένου του Didier Stevens και του Rich Warren του NCC Group – έχουν επιβεβαιώσει ότι η εκμετάλλευση του Follina zero-day μπορεί να χρησιμοποιηθεί για την εξ αποστάσεως εκτέλεση αυθαίρετου κώδικα σε συστήματα που εκτελούν διάφορες εκδόσεις των Windows και του Office. Έχει δοκιμαστεί έναντι του Office Pro Plus, του Office 2013, του Office 2016 και του Office 2021. Ο
Beaumont σημείωσε ότι το exploit δεν φαίνεται να λειτουργεί με τις πιο πρόσφατες εκδόσεις Insider και Current του Office, γεγονός που υποδηλώνει ότι η Microsoft ενδέχεται να εργάζεται για την επιδιόρθωση του ελαττώματος , ή πρέπει να γίνουν κάποιες τροποποιήσεις στο exploit.
SecurityWeek επικοινώνησε με τη Microsoft για σχόλια και θα ενημερώσει αυτό το άρθρο εάν η εταιρεία απαντήσει.
Ένας τομέας που χρησιμοποιήθηκε από τον εισβολέα για σκοπούς εντολής και ελέγχου (C&C), ο xmlformats[.]com, φιλοξενήθηκε από το Namecheap. Η εταιρεία φιλοξενίας «γύμνωσε» γρήγορα τον τομέα μετά την ειδοποίηση.
Τόσο η Warren όσο και η Beaumont έχουν προτείνει ορισμένους πιθανούς μετριασμούς μέχρι να καταστούν διαθέσιμες ενημερώσεις κώδικα ή λύσεις.