Recentemente voltou ao centro das atenções para todos os times de Tecnologia da Informação (TI), principalmente para os times de Infraestrutura e Segurança, uma nova ameaça de zero-day, chamada Follina, que explora uma vulnerabilidade na ferramenta de diagnóstico de suporte da Microsoft (MSDT, em inglês).
A forma de exploração da vulnerabilidade é simples, a simples abertura de um documento do Microsoft Word pode causar um transtorno para os usuários que utilizam a ferramenta diariamente. Isso porque a vulnerabilidade permite a execução remota de códigos na máquina da vítima por meio de um link malicioso vinculado a um documento do Word, por exemplo.
A ameaça, classificada com score CVSS de 7.8, é considerada gravíssima de acordo com a CVE-2022-30190. A Microsoft criou uma documentação especial para a vulnerabilidade, disponível publicamente, indicando alguns passos para os times de Infraestrutura e Segurança da Informação para reduzir os impactos, enquanto a correção não é lançada.
Com a possibilidade de executar comandos remotos, os comandos que podem ser executados na máquina da vítima estão: instalação de programas, vazamento de dados, modificação de arquivos, download de arquivos maliciosos, como ransomware, e até mesmo a criação de contas de usuários dependendo dos níveis de privilégios.
Para evitar que estes comandos remotos sejam executados, a proteção deve vir, principalmente, de softwares de proteção de endpoint (antivírus e EDR), softwares de proteção de borda (antivírus de borda ou proxy) e softwares de proteção contra intrusão (IPS), pois previnem que a brecha seja explorada por terceiros.
A Connection auxilia seus clientes para proteção contra esta nova ameaça através dos nossos parceiros de tecnologia.
A Fortinet identifica o Follina e suas variantes via antivírus, sendo possível bloquear por FortiClient, FortiGate, FortiMail, etc., via IPS, bloqueando a execução remota dos códigos, e via FortiEDR, bloqueando a exploração da vulnerabilidade e ações subsequentes do malware.
Para clientes Fortinet, também é possível identificar e bloquear através do IOC, com as redes conhecidas pela exploração da ameaça. E pelo serviço de Content Disarm and Reconstruction (CDR) identifica o malware em tempo real e bloqueia modificações nos arquivos Microsoft Office.
A Blackberry Cylance realiza o bloqueio através do CylanceOPTICS, que pode detectar e bloquear a exploração da vulnerabilidade através de regras baixadas pelo cliente, conforme divulgado pelo fabricante.
Fontes:
https://blogs.blackberry.com/en/2022/06/follina-zero-day-weaponizes-microsoft-help-tool
https://nvd.nist.gov/vuln/detail/CVE-2022-30190