È stata scoperta una nuova vulnerabilità zero-day in Microsoft Office: si tratta di Follina, e consente ai criminali informatici di eseguire codice dannoso da remoto sui sistemi delle vittime sfruttando una falla nel Microsoft Diagnostics Tool.
L’attacco avviene attraverso documenti di testo compromessi. In pratica, l’attaccante si infiltra nella rete della vittima distribuendo un documento Microsoft Word (.docx) o Rich Text Format (.rtf) appositamente progettato che contiene un link a un allegato HTML esterno dannoso. Per Follina non è stata ancora rilasciata una patch, pertanto i ricercatori di Kaspersky hanno previsto un numero crescente di attacchi che utilizzano questa vulnerabilità.
Sfrutta lo strumento di risoluzione dei problemi di Windows
Quando viene aperto, il documento preparato dall’aggressore lancia MSDT, uno strumento di risoluzione dei problemi di Windows che raccoglie informazioni e le segnala all’assistenza Microsoft. La riga di comando fornita a MSDT tramite l’URL distribuito provoca l’esecuzione di codice non attendibile. Questo consente all’attaccante di distribuire e installare programmi dannosi sul computer della vittima (compresi i controller di dominio vulnerabili), nonché di rubare i dati memorizzati e creare nuovi account con pieni diritti utente. Nel complesso, l’attaccante può passare qualsiasi comando da eseguire sul sistema della vittima con i privilegi dell’utente che ha aperto il documento di testo.
Stati Uniti, Vietnam e Pakistan i più colpiti
Purtroppo il comando può essere trasmesso al sistema bersaglio anche nel caso in cui la vittima abbia aperto il documento in modalità protetta, o addirittura nel caso in cui non lo abbia aperto affatto. Complessivamente, dall’inizio di maggio 2022 al 3 giugno, i prodotti Kaspersky hanno rilevato oltre 1.000 tentativi di sfruttamento della vulnerabilità appena scoperta. Circa il 40% di questi tentativi sono stati registrati negli Stati Uniti, seguiti da Vietnam (8,3%) e Pakistan (8,2%). La situazione è diversa se si considerano i Paesi classificati in base agli utenti unici più colpiti. In questo caso, il Pakistan è in testa, con quasi il 45% degli utenti colpiti, seguito da Russia (6,5%) e Stati Uniti (4,32%).
“Prevediamo che il numero di tali attacchi crescerà”
“Una volta segnalata una vulnerabilità precedentemente sconosciuta, i criminali informatici intensificano la loro attività per trarre il massimo vantaggio dalla situazione – commenta Alexander Al. Kolesnikov, esperto di sicurezza di Kaspersky -. La vulnerabilità Follina ne è un esempio. Abbiamo osservato numerosi tentativi di sfruttare la vulnerabilità nei prodotti MS Office sulle reti aziendali e prevediamo che il numero di tali attacchi crescerà. La vulnerabilità potrebbe essere sfruttata per vari motivi, dalla fuga di dati agli attacchi ransomware. Stiamo monitorando attentamente il panorama delle vulnerabilità per migliorare il rilevamento generico di Follina. Pertanto, raccomandiamo vivamente agli utenti di affidarsi alle più recenti informazioni sulle minacce e di installare soluzioni di sicurezza che individuino in modo proattivo sia le minacce note sia quelle sconosciute”.