Em 27 de maio, um pesquisador que usa o apelido online “nao_sec” relatou no Twitter que havia encontrado um documento malicioso interessante no serviço de verificação de malware VirusTotal. O arquivo malicioso do Word, carregado da Bielorrússia, foi projetado para executar código arbitrário do PowerShell quando aberto.
O malware foi posteriormente analisado por vários outros, incluindo o pesquisador Kevin Beaumont, que publicou uma postagem no blog detalhando suas descobertas no domingo.
“O documento usa o recurso de modelo remoto do Word para recuperar um arquivo HTML de um servidor web remoto, que por sua vez usa o esquema de URI ms-msdt MSProtocol para carregar algum código e executar algum PowerShell”, explicou Beaumont, acrescentando: “Isso não deve ser possível.”
O pesquisador observou que o código é executado mesmo se as macros estiverem desabilitadas – documentos maliciosos do Word são normalmente usados para execução de código por meio de macros. Atualmente, o Microsoft Defender não parece ser capaz de impedir a execução.
“O Protected View entra em ação, embora se você alterar o documento para o formato RTF, ele é executado sem abrir o documento (através da guia de visualização no Explorer), muito menos o Protected View”, disse Beaumont.
O pesquisador decidiu nomear a vulnerabilidade de dia zero como “Follina” porque o arquivo malicioso faz referência a 0438, que é o código de área de Follina, uma vila na Itália.
Aproximadamente um terço dos fornecedores do VirusTotal detectam o documento malicioso no momento da redação.
Beaumont e outros – incluindo Didier Stevens e Rich Warren do NCC Group – confirmaram que a exploração de dia zero do Follina pode ser usada para executar remotamente código arbitrário em sistemas que executam várias versões do Windows e do Office. Ele foi testado no Office Pro Plus, Office 2013, Office 2016 e Office 2021.
Beaumont observou que o exploit não parece funcionar nas versões Insider e Current mais recentes do Office, o que indica que a Microsoft pode estar trabalhando para corrigir a falha ou que algumas modificações precisam ser feitas no exploit.
A SecurityWeek entrou em contato com a Microsoft para comentar e atualizará este artigo se a empresa responder.
Um domínio usado pelo invasor para fins de comando e controle (C&C), xmlformats[.]com, foi hospedado pela Namecheap. A empresa de hospedagem rapidamente “nuked” o domínio depois de ser notificada.
Tanto Warren quanto Beaumont propuseram algumas mitigações em potencial até que correções ou soluções alternativas sejam disponibilizadas.
Uma cidade na Carolina do Norte e um escritório de advogados distritais cobrindo quatro condados…
O surgimento da Nytheon AI marca uma escalada significativa no cenário das plataformas (LLM) de…
Um pesquisador de segurança revelou uma vulnerabilidade crítica de injeção de SOQL no controlador interno…
Falha permite que invasores manipulem o agente de um usuário por meio de um problema…
Um exploit de dia zero, dirigido aos firewalls FortiGate da Fortinet, foi descoberto à venda…
A família SHELBY mostra um exemplo preocupante de malware moderno com design modular, sofisticado e…