L’azienda di Redmond ha confermato la vulnerabilità nel Microsoft Support Diagnostic Tool (MSDT) di Windows, ma non ha ancora rilasciato una patch. I cybercriminali cinesi del gruppo TA413 ha subito approfittato dell’occasione per effettuare un attacco contro la comunità tibetana. I principali antivirus, tra cui Norton 360 Premium, rilevano e bloccano il malware che sfrutta il bug.
Exploit per la vulnerabilità zero-day
La vulnerabilità, indicata con CVE-2022-30190 e soprannominata Follina dal ricercatore Kevin Beaumont, può essere sfruttata per eseguire codice remoto sul computer Windows. È sufficiente inserire il link ad un file infetto all’interno di un documento Word.
Un file HTML viene scaricato da un server quando l’ignara vittima apre il documento o visualizza l’anteprima in Esplora file. Successivamente viene utilizzato il protocollo MSDT per eseguire il codice infetto attraverso comandi PowerShell. L’attacco effettuato dai cybercriminali cinesi sfrutta la tecnica con un documento Word nascosto in un archivio ZIP. La vulnerabilità permette di eseguire diversi azioni pericolose, come installare malware, visualizzare dati e creare account.
Microsoft ha suggerito di attivare la Visualizzazione protetta di Office, ma i ricercatori di sicurezza hanno scoperto che è sufficiente cambiare il formato in RTF per aggirare la protezione. Gli utenti devono innanzitutto disattivare l’anteprima in Esplora file. In attesa della patch risolutiva è consigliata inoltre la disattivazione del protocollo MSDT, cancellando la chiave di registro corrispondente.
Come detto, la maggioranza delle soluzioni di sicurezza può individuare il malware (il trojan Mesdetty). Una delle più efficaci è Norton 360 Premium, attualmente disponibile con uno sconto del 57%.