No fim de maio, pesquisadores descobriram uma vulnerabilidade zero-day crítica que afeta a Ferramenta de Diagnóstico de Suporte do Microsoft Windows (MSDT, na sigla em inglês) e que permite que um atacante execute comandos maliciosos remotamente, simplesmente abrindo um documento do Microsoft Office.
Conhecida como Follina e registrada como CVE-2022-30190, trata-se de uma vulnerabilidade de execução de código remoto (RCE) que ocorre quando a MSDT é chamada usando o protocolo especial de URL de um aplicativo de chamada como o Word. Um atacante que explora a falha pode executar código arbitrário através do PowerShell com os privilégios do aplicativo de chamada e, dessa forma, instalar programas na máquina comprometida, bem como apagar ou modificar dados ou criar novas contas com os privilégios permitidos pela conta do usuário, explica a Microsoft no blog oficial.
A Follina se transformou em mais uma possibilidade para atacantes que podem usar documentos do Office sem a necessidade de inserir código malicioso em macros para executar algum tipo de malware no computador de uma vítima.
Os pesquisadores da nao_sec, que descobriram a vulnerabilidade, revelaram que no último dia 27 de maio descobriram no VirusTotal uma amostra de um documento malicioso que explora a nova vulnerabilidade, embora de acordo com outros sites, aparentemente a falha foi reportada em abril deste ano, mas a Microsoft o descartou como não sendo uma questão de segurança.
Interesting maldoc was submitted from Belarus. It uses Word's external link to load the HTML and then uses the "ms-msdt" scheme to execute PowerShell code.https://t.co/hTdAfHOUx3 pic.twitter.com/rVSb02ZTwt
— nao_sec (@nao_sec) May 27, 2022
De acordo com o pesquisador Kevin Beaumont, quem batizou a vulnerabilidade como Follina, essa falha zero-day se aproveita de uma função que permite publicar templates para o Word de forma remota a fim de recuperar um arquivo HTML de um servidor web remoto. Além disso, segundo Beaumont, a vulnerabilidade pode ser explorada através de arquivos .RTF em todas as versões do Office 365, e também através do Microsoft Outlook.
Enquanto esperamos que a Microsoft publique um patch que permita corrigir a falha, a Follina está sendo ativamente explorada por atacantes. Recentemente, pesquisadores descobriram uma campanha de phishing que tenta distribuir malware como o Qbot através da exploração da falha. Segundo os pesquisadores, os atacantes estão enviando mensagens com anexos HTML que baixam um arquivo ZIP com um arquivo de imagem de disco (IMG) contendo arquivos Word, DLLs e LNK. Enquanto o arquivo LNK executa a DLL do Qbot, o arquivo .docx se comunica com um servidor externo que carrega um arquivo HTML com o exploit para se aproveitar da vulnerabilidade e executar comandos que baixam e executam um payload de outro Qbot.
Além deste exemplo, dias depois que a vulnerabilidade foi reportada, algumas empresas de segurança começaram a divulgar outras campanhas nas quais a Follina estava sendo utilizada, tais como uma que foi detectada visando a Austrália e que utilizava websites.
Mas estes não foram os únicos relatos de campanhas que exploraram essa vulnerabilidade. A equipe do MalwareHunterTeam, por exemplo, detectou o uso de documentos maliciosos com nomes de arquivos em chinês sendo usados para distribuir trojans que roubam informações.
Formas para mitigar o impacto da Follina
A equipe do 0patch publicou um patch não-oficial para algumas versões do Windows afetadas pela Follina. Já a Microsoft aconselhou a usar soluções temporárias para mitigar a vulnerabilidade enquanto trabalha para o lançamento de um patch. Além disso, a empresa recomenda que os usuários desativem o protocolo especial de URL na MSDT para evitar a execução de links. Para isso, é necessário:
- Executar Command Prompt (CMD) como administrador;
- Fazer uma cópia de segurança do registro executando o comando “reg export HKEY_CLASSES_ROOT\ms-msdt filename”;
- Executar o comando “reg delete HKEY_CLASSES_ROOT\ms-msdt /f”.
Will Dorman, do Centro de Coordenação do CERT nos EUA, também sugeriu (em um longo tópico no Twitter no qual ele explica como funciona a vulnerabilidade) desativar o painel de visualização no Windows Explorer, já que a pré-visualização de um documento malicioso no Windows Explorer pode ser o suficiente para deter o exploit.
Also, for the love of all that is holy, please don't have the Preview pane enabled in Windows Explorer. pic.twitter.com/bpkj00AVWZ
— Will Dormann (@wdormann) May 30, 2022
Órgãos governamentais como a CISA alertaram e sugeriram que administradores e usuários desativem o protocolo MSDT e apliquem as sugestões destacadas pela Microsoft.