Cyberteam

  • Home
  • Attività
    • Network Security Assessment
    • Password Hacking
      • Password Intelligence
      • Password Security Management
      • Multi-Factor Authentication
    • Cyber Intelligence
    • Vulnerability Assessment
    • Penetration Testing
    • Spear Phishing
    • Academy
    • Database Health Check
    • Legal 4 Tech
      • Legal 4 Tech
      • AGID/GDPR
    • Digital Forensics
  • Ethical Hacker
    • Lavora con noi
    • Bibliografie hacker
  • CyT per il sociale
  • Contatti
  • CyberNews

La nuova vulnerabilità “Follina”
di Microsoft

La nuova vulnerabilità “Follina”
di Microsoft

da Jacopo / martedì, 07 Giugno 2022 / Pubblicato il Cyber Security

La nuova vulnerabilità che non ha bisogno dell’interazione dell’utente

“Follina” è la nuova RCE recentemente scoperta e battezzata in casa Microsoft (CVE-2022-30190).

Si tratta di una vulnerabilità che permette di sfruttare una funzione interna di Microsoft, il MSDT (Microsoft Support Diagnostic Tool) allo scopo di eseguire un codice powershell all’apertura del file.

Prima però occorre fare un po’di chiarezza su cosa sia effettivamente questa vulnerabilità.

E’ possibile creare un file .doc con all’interno un codice malevolo, inserito all’interno del file di schema XML con il quale il documento viene generato. Tramite questo codice è possibile andare a richiamare un’istruzione che permette il download di un file in formato .html contenente qualsiasi tipo di payload, che viene a sua volta aperto, utilizzando il tool MSDT. Normalmente il tool richiederebbe, per potersi attivare, l’inserimento di una password ma se il file scaricato ha una dimensione pari o superiore ai 4096 bit, per un bug del tool, questa password non viene richiesta.

In questa maniera è possibile generare un file malevolo, dall’aspetto di un normalissimo file .doc, che appena aperto esegue un codice di qualsivoglia natura (dall’apertura di un programma, alla generazione di una vera e propria reverse shell).

Ad aggravare la situazione è la presenza di uno script su github che consente la creazione facilitata di simili documenti e che permette a chiunque di utilizzare questa vulnerabilità.

Finora si è parlato di una vulnerabilità decisamente pericolosa ma che richiede quanto meno l’interazione dell’utente (il click iniziale) per poter essere sfruttata.

Nel corso di solo un paio di giorni, però, si è visto che, generando un file di tipo .rtf e non più .doc, poiché questo viene automaticamente visualizzato tramite l’anteprima di Windows, è possibile sfruttare questa vulnerabilità anche senza l’effettiva apertura del file da parte dell’utente; basta semplicemente che il file venga selezionato ed all’apertura dell’anteprima il codice viene eseguito. Questa scoperta ha trasformato la classificazione di questa CVE da grave a critica.

Al momento della scrittura di questo articolo, non sono ancora stati rilasciati aggiornamenti che possano correggere questa problematica da parte di Windows ma solo delle linee guida per la mitigazione.

Jacopo

Etichal hacker della vecchia scuola, oramai non ne fanno più così! Si occupa di sicurezza da più di 10 anni, curioso per natura, se qualcosa finisce nel suo radar sarà disassemblato per farlo funzionare meglio.

Formatore su temi di consapevolezza e hacking per professionisti.

Tre caratteristiche che lo distinguono:

La velocità
Se una cosa non la sa, dategli tempo fino a sera
Il caffè

Colore preferito? Verde, ovviamente!

Condividi
Taggato in: Follina, Microsoft, Vulnerability, ZERO-DAY

Che altro puoi leggere

Tenere le password al sicuro
I Dieci Cyber Comandamenti
Shutterfly rivela la violazione dei dati
dopo l’attacco del ransomware Conti
Attacco massivo al gruppo alberghiero IHG
interrompe i sistemi di prenotazione

Categorie

  • Analisi Tecnica
  • Cyber Security
  • Dark Web
  • Data Leak
  • GDPR
  • HACKER
  • Industria 4.0
  • IOT
  • MongoDB
  • Password
  • Ransomware
  • Smartworking

Articoli recenti

  • password intelligence

    Controllo di sicurezza: 13.000 password del governo USA violate in 90 minuti

    Poiché i dipendenti del Dipartimento degli Inte...
  • Fuga di dati: circola un database con 235 milioni di account Twitter

    Dopo che a dicembre è stato messo in vendita un...
  • Codice dannoso su PyPI: attacco alla catena di distribuzione delle build notturne di PyTorch

    Chi ha recentemente installato PyTorch-nightly ...
  • Il ransomware Magniber ora infetta gli utenti Windows
    tramite file JavaScript

    Una recente campagna dannosa che ha distribuito...
  • GIFShell – Nuovo attacco che consente agli aggressori di rubare
    i dati utilizzando una GIF dentro Microsoft Teams

    Una nuova tecnica di attacco chiamata “GIFShell...
  • SOCIAL

© 2020.Tutti i diritti riservati. EURO INFORMATICA SPA - Viale della Repubblica 63/4, 36066 Sandrigo (VI)
P. IVA/CF 02367910243 - Cap Soc. 100.000 Euro i.v. - REA 0226275 - VI - Reg. Imp. 30100-VI-116

COOKIE POLICY - PRIVACY POLICY

TORNA SU
  • Sei sotto attacco?