Si chiama Follina, ed è la nuova vulnerabilità zero-day scoperta di recente in Microsoft Office. Follina consente ai criminali informatici di infiltrarsi nella rete delle vittime distribuendo un documento di testo appositamente progettato in Microsoft Word (.docx) o Rich Text Format (.rtf), che contiene un link a un allegato HTML esterno dannoso. Attraverso documenti di testo compromessi l’attaccante esegue codice dannoso da remoto sui sistemi delle vittime sfruttando una falla nel Microsoft Diagnostics Tool. Per Follina non è stata ancora rilasciata una patch, quindi i ricercatori di Kaspersky prevedono un numero crescente di attacchi che sfruttano questa vulnerabilità.
Il documento preparato dall’aggressore lancia MSDT
Quando viene aperto, il documento preparato dall’aggressore lancia MSDT, lo strumento di risoluzione dei problemi di Windows che raccoglie informazioni e le segnala all’assistenza Microsoft.
La riga di comando fornita a MSDT tramite l’URL distribuito provoca l’esecuzione di codice non attendibile. Questo consente all’attaccante di distribuire e installare programmi dannosi sul computer della vittima (compresi i controller di dominio vulnerabili), nonché rubare i dati memorizzati e creare nuovi account con pieni diritti utente. Insomma, l’attaccante può passare qualsiasi comando da eseguire sul sistema della vittima con i privilegi dell’utente che ha aperto il documento di testo.
In un mese rilevati oltre 1.000 tentativi di attacco
Purtroppo il comando può essere trasmesso al sistema bersaglio anche nel caso in cui la vittima abbia aperto il documento in modalità protetta, o addirittura nel caso in cui non lo abbia aperto affatto.
Complessivamente, dall’inizio di maggio 2022 al 3 giugno, i prodotti Kaspersky hanno rilevato oltre 1.000 tentativi di sfruttamento della vulnerabilità appena scoperta. Circa il 40% di questi tentativi sono stati registrati negli Stati Uniti, seguiti da Vietnam (8,3%) e Pakistan (8,2%).
La situazione è diversa se si considerano i Paesi classificati in base agli utenti unici più colpiti. In questo caso, il Pakistan è in testa, con quasi il 45% degli utenti colpiti, seguito da Russia (6,5%) e Stati Uniti (4,32%).
Colpite le reti aziendali
“Una volta segnalata una vulnerabilità precedentemente sconosciuta, i criminali informatici intensificano la loro attività per trarre il massimo vantaggio dalla situazione – commenta Alexander Al. Kolesnikov, esperto di sicurezza di Kaspersky -. La vulnerabilità Follina ne è un esempio. Abbiamo osservato numerosi tentativi di sfruttare la vulnerabilità nei prodotti MS Office sulle reti aziendali e prevediamo che il numero di tali attacchi crescerà. La vulnerabilità potrebbe essere sfruttata per vari motivi, dalla fuga di dati agli attacchi ransomware. Stiamo monitorando attentamente il panorama delle vulnerabilità per migliorare il rilevamento generico di Follina. Pertanto, raccomandiamo vivamente agli utenti di affidarsi alle più recenti informazioni sulle minacce e di installare soluzioni di sicurezza che individuino in modo proattivo sia le minacce note sia quelle sconosciute”.