В двух словах: Follina не требует повышенных привилегий или включения макросов Office, и его не обнаруживает Защитник Windows. Он работает в большинстве полностью обновленных версий Office и операционных систем, и исследователи отмечают, что его можно использовать, даже если пользователь выбирает вредоносный файл в проводнике Windows.

Исследователи только что раскрытый новая уязвимость нулевого дня в Microsoft Office, которую сообщество информационной безопасности окрестило Follina. Он позволяет злоумышленникам выполнять команды Powershell с помощью Microsoft Diagnostic Tool (MSDT) после открытия вредоносного документа Word.

Что делает эту уязвимость особенно опасной, так это то, что она полностью обходит обнаружение Защитника Windows, работает без повышенных привилегий и не требует включения макросов Office. На данный момент подтверждено, что он присутствует в Office 2013, 2016, 2019, 2021 и нескольких версиях, включенных в лицензию Microsoft 365 как для Windows 10, так и для 11.

Как Кевин Бомонт объясняет, вредоносный документ использует функцию удаленного шаблона Word для получения HTML-файла с удаленного веб-сервера. Это, в свою очередь, использует схему универсального идентификатора ресурса (URI) ms-msdt MSProtocol для выполнения кода в Powershell.

Защищенный просмотр, функция, которая предупреждает пользователей о файлах из потенциально небезопасных мест, активирует и помечает документ как потенциально вредоносный. Однако при преобразовании документа в файл в формате Rich Text Format (RTF) уязвимость можно использовать, просто выбрав файл (не открывая его), если включен параметр панели предварительного просмотра в проводнике Windows.

Интересно, что Microsoft была проинформирована об этой уязвимости еще в апреле, однако решила отмахнуться от нее, так как компания не смогла воспроизвести ее.

Почитать  Китайская компания Jawbone выпустила свой фитнес браслет

Huntress Labs, компания по кибербезопасности, говорит он ожидает, что злоумышленники будут использовать Follina через доставку по электронной почте, и предупреждает людей, чтобы они были бдительны и не открывали никаких вложений, пока уязвимость не будет исправлена.