Follina: la vulnerabilità critica in Windows che sfrutta Word e ancora non ha soluzione

I ricercatori di Shadow Chaser Group hanno individuato una grave vulnerabilità nei prodotti Microsoft che può consentire agli aggressori di eseguire codice arbitrario. La vulnerabilità, tracciata con il codice CVE-2022-30190, è stata battezzata dai ricercatori "Follina". Purtroppo al momento ancora non esiste una patch risolutiva per questa falla, che è già sfruttata attivamente dai criminali informatici da almeno sette settimane. Sono disponibili però alcune soluzioni temporanee che possono mitigrare il problema.

La vulnerabilità si trova nello strumento di diagnostica del supporto di Microsoft Windows (MSDT - Microsoft Support Diagnostic Tool) e, per via dell'implementazione di questo strumento, essa può essere sfruttata mediante un documento Office approntato allo scopo. Si tratta di una vulnerabilità che interessa tutti i sistemi operativi della famiglia Windows, desktop e server. 

MSDT è l'applicazione che viene usata all'interno di Windows per raccogliere in maniera automatica informazioni diagnostiche quando si verifica qualche malfunzionamento del sistema operativo o di software, ed inviarle a Microsoft così che le possa esaminare ed, eventualmente, procedere allo sviluppo di una soluzione che viene poi inserita negli aggiornamenti periodici.

Questo strumento può essere "chiamato" da altre applicazioni mediante il protocollo URL MSDT. La vulnerabilità, se sfruttata correttamente, può consentire all'aggressore di eseguire codice arbitrario con gli stessi privilegi dell'applicazione chiamata, quindi se ad esempio si tratta di Microsoft Word, il codice arbitrario sarà eseguito con gli stessi privilegi dell'utente che ha aperto il file Word dannoso.

La vulnerabilità può essere sfruttata inviando un documento Office dannoso ad un bersaglio con le usuali tecniche di social engineering per convincere la vittima ad aprire il file. Questo documento contiene un collegamento ad un file HTML che a sua volta contiene un codice JavaScript che può eseguire codice dannoso nella riga di comando tramite MSDT. Se la vulnerabilità viene sfruttata correttamente e il tentativo di compromissione va a segno, gli aggressori possono a questo punto installare programmi, leggere, modificare o eliminare dati, creare nuovi account e, in generale, compiere tutto ciò che è possibile fare con i privilegi della vittima.

La vulnerabilità è stata segnalata a Microsoft lo scorso 12 aprile come falla 0-day già sfruttata. La risposta di Microsoft è arrivata il 21 aprile, con i ricercatori di sicurezza dell'azienda di Redmond che hanno ritenuto di non considerare il comportamento segnalato come una vulnerabilità di sicurezza poiché MSDT avrebbe richiesto presumibilmente una password prima di eseguire i payload. E' solamente nei giorni scorsi che Microsoft ha deciso di tornare sui suoi passi riconoscendo che il comportamento rappresentava una vulnerabilità critica.

"Esiste una vulnerabilità legata all'esecuzione di codice in modalità remota quando MSDT viene chiamato utilizzando il protocollo URL da un'applicazione chiamante come Word. Un utente malintenzionato che sfrutta con successo questa vulnerabilità può eseguire codice arbitrario con i privilegi dell'applicazione chiamante. L'utente malintenzionato può quindi installare programmi, visualizzare, modificare o eliminare dati o creare nuovi account nel contesto consentito dai diritti dell'utente" conferma Microsoft.

Attualmente non è disponibile alcuna patch correttiva. E' possibile però attuare alcune contromisure per arginare il problema: la stessa Microsoft consiglia di disabilitare il protocollo URL MSDT eliminando la chiave HKEY_CLASSES_ROOT\ms-msdt /f (eseguendo un backup del registro prima di effettuare l'operazione), in attesa di una soluzione ufficiale.