|
CVE-2022-30190 alias Follina, la vulnerabilità zero-day di Microsoft Office consente ad applicazioni come Microsoft Word di eseguire codice (senza macro) chiamando le routine MSDT (Microsoft Support Diagnostic Tool) utilizzando il protocollo "ms-msdt:/". È stata notata come uno zero-day sfruttato in the wild, ma è stata menzionata per la prima volta nel 2020 in una tesi di laurea piuttosto interessante di Benjamin Altpeter il 01 agosto 2020. |
Un aggressore che sfrutti con successo questa vulnerabilità può eseguire codice arbitrario con i privilegi dell'applicazione chiamante. |
Come funziona?
|
L'exploit funziona come segue: L'utente apre un file Microsoft Office non dannoso (Word, Excel, RTF, ...) che fa riferimento a un file modello HTML remoto dannoso. Il file remoto viene scaricato e viene eseguito il payload incorporato, contenente codice per abusare del protocollo ms-msdt e invocare azioni sull'host compromesso. |
SonicWall offre la seguente protezione contro questa minaccia:
|
Questa minaccia viene rilevata in modo proattivo da Capture ATP w/RTDMI.
|
|
- IPS: 2771 Microsoft Support Diagnostic Tool RCE (Follina)
- IPS: 2772 Microsoft Support Diagnostic Tool RCE (Follina)
- IPS: 2773 Microsoft Support Diagnostic Tool RCE (Follina)
- IPS: 2774 Microsoft Support Diagnostic Tool RCE (Follina)
- GAV: CVE-2022-30190.X
- GAV: CVE-2022-30190.X_1
- GAV: CVE-2022-30190.X_2
|