Nuova tecnica di attacco su Microsoft
Office - Follina
05/30/2022
Con la presente CERT-Yoroi desidera informarla riguardo una nuova tecnica di attacco su Microsoft Office. La modalità di exploit è soprannominata Follina, dal ricercatore che ha individuato nel sample un riferimento al numero 0438, che è il prefisso di Follina in Italia.
La tecnica è la risultante di una concatenazione di un attacco già noto e dello sfruttamento di componenti legittimi forniti dall’ambiente Windows. In particolare:
- Template Injection: è possibile creare o modificare i riferimenti nei modelli di documenti office per nascondere
codice malevolo o forzare l’autenticazione della vittima, in questo caso il template carica un HTML contenente uno
script Powershell; questa tecnica risulta molto utilizzata da attori di tipo APT; - Lolbin: lo script Powershell utilizza il componente “msdt” di Microsoft, tool di diagnostica di Microsoft, abusato per
eseguire codice malevolo.
Il caricamento del template avviene immediatamente durante l’apertura del documento Word, una volta effettuato il download del template, è eseguito codice malevolo anche se le macro sono disabilitate; la tecnica, attualmente, non è correttamente individuata da strumenti di protezione come EDR.
I campioni disponibili ad oggi mostrano un utilizzo di test della tecnica di attacco, non si esclude che nei prossimi giorni quest’ultima venga utilizzata per distribuire campagne malware.
La template injection è una feature della suite Office, non saranno quindi disponibili patch di sicurezza per questa tecnica di attacco, le modalità di individuazione dell’attacco vertono sull’individuazione di template remoti da domini malevoli, sono in corso di studio delle regole Sigma, integrabili in sistemi EDR, per individuare l’esecuzione di strumenti Microsoft a fini malevoli.
A questo proposito, Yoroi suggerisce di prestare la massima attenzione a documenti Office ricevuti tramite email e, in caso di dubbi, di caricarli in sandbox.
Yoroi consiglia infine di mantenere alto il livello di consapevolezza degli utenti, avvisandoli periodicamente delle minacce in corso e di utilizzare un team di esperti per salvaguardare la sicurezza del perimetro “cyber”. Per avere un indice di minaccia in tempo reale si consiglia di visitare il seguente link: Yoroi Cyber Security Index.
