Новая уязвимость нулевого дня Follina в Microsoft Office работает даже с отключенными макросами
В двух словах: Follina не требует повышенных привилегий или включения макросов Office, и его не обнаруживает Защитник Windows. Он работает в большинстве полностью обновленных версий Office и операционных систем, и исследователи отмечают, что его можно использовать, даже если пользователь выбирает вредоносный файл в проводнике Windows.
Исследователи только что раскрыли новую уязвимость нулевого дня в Microsoft Office, которую сообщество информационной безопасности окрестило Follina. Она позволяет злоумышленникам выполнять команды Powershell с помощью Microsoft Diagnostic Tool (MSDT) после открытия вредоносного документа Word.
Что делает эту уязвимость особенно опасной, так это то, что она полностью обходит обнаружение Защитника Windows, работает без повышенных привилегий и не требует включения макросов Office. На данный момент подтверждено, что она присутствует в Office 2013, 2016, 2019, 2021 и нескольких версиях, включенных в лицензию Microsoft 365 как для Windows 10, так и для 11.
Многие отмечают, что при открытии документа Word требуется защищенный режим. Просто напоминание о том, что форматирование в виде файла Rich Text позволяет использовать его, когда включена опция панели предварительного просмотра Проводника (кнопка «Включить редактирование» также отсутствует;) #Фоллина #MSDT https://t.co/ZUj5WXeWjN
— Кайл Ханслован (@KyleHanslovan) 30 мая 2022 г.
Как Кевин Бомонт объясняет, вредоносный документ использует функцию удаленного шаблона Word для получения HTML-файла с удаленного веб-сервера. Это, в свою очередь, использует схему универсального идентификатора ресурса (URI) ms-msdt MSProtocol для выполнения кода в Powershell.
Защищенный просмотр, функция, которая предупреждает пользователей о файлах из потенциально небезопасных мест, активирует и помечает документ как потенциально вредоносный. Однако при преобразовании документа в файл в формате Rich Text Format (RTF) уязвимость можно использовать, просто выбрав файл (не открывая его), если включен параметр панели предварительного просмотра в проводнике Windows.
— Crazyman_army (@CrazymanArmy) 30 мая 2022 г.
Интересно, что Microsoft была проинформирована об этой уязвимости еще в апреле, однако решила отмахнуться от нее, так как компания не смогла воспроизвести ее.
Huntress Labs, компания по кибербезопасности, говорит он ожидает, что злоумышленники будут использовать Follina через доставку по электронной почте, и предупреждает людей, чтобы они были бдительны и не открывали никаких вложений, пока уязвимость не будет исправлена.
