Rilevamento della Vulnerabilità Follina: Nuovo Zero-Day di Microsoft Office Sfruttato in Natura

[post-views]
Maggio 30, 2022 · 4 min di lettura
Rilevamento della Vulnerabilità Follina: Nuovo Zero-Day di Microsoft Office Sfruttato in Natura

I ricercatori di cybersecurity puntano i riflettori su una nuova vulnerabilità zero-day in Microsoft Office vista in natura. Il 27 maggio, la falla zero-day Follina è stata documentata per la prima volta e segnalata come sottoposta dalla Bielorussia. Secondo la ricerca, la nuova vulnerabilità zero-day di Microsoft Office può portare all’esecuzione arbitraria di codice su dispositivi Windows compromessi. 

Rilevare i tentativi di sfruttamento della vulnerabilità Follina

Per consentire ai professionisti della cybersecurity di rilevare i tentativi di sfruttamento della zero-day Follina, il Team di SOC Prime ha rilasciato un set di regole Sigma dedicate disponibili nella piattaforma Detection as Code e contrassegnate di conseguenza. Per accedere a questo kit di regole, assicurati di accedere alla piattaforma di SOC Prime con le tue credenziali esistenti o di creare un account:

Regole Sigma per rilevare i tentativi di sfruttamento della vulnerabilità zero-day di Microsoft Office Follina

Tutte le rilevazioni sono compatibili con molteplici soluzioni di sicurezza supportate dalla piattaforma di SOC Prime e sono allineate al framework MITRE ATT&CK® per una visibilità avanzata delle minacce, affrontando la tattica di Defense Evasion con l’iniezione di template (T1221) come tecnica primaria. 

I team possono anche approfittare di un’altra regola Sigma che può ulteriormente aiutare a identificare le tracce di questo ultimo attacco informatico legato allo sfruttamento della vulnerabilità Follina:

LOLBAS msdt (via cmdline)

La regola Sigma sopracitata può essere utilizzata attraverso 23 soluzioni SIEM, EDR e XDR e affronta la tecnica di Signed Binary Proxy Execution (T1218) dall’arsenale della tattica di Defense Evasion basato sul framework MITRE ATT&CK.

Clicca il Visualizza rilevazioni pulsante per raggiungere la raccolta completa di algoritmi di rilevazione che permettono ai team di rimanere continuamente aggiornati sulle minacce emergenti. I ricercatori di cybersecurity e i Cacciatori di minacce in cerca di nuovi modi per potenziare le loro competenze professionali contribuendo allo sviluppo collaborativo sono invitati a unirsi alle file del nostro Threat Bounty Program. Partecipando a questa iniziativa di crowdsourcing, i professionisti della cybersecurity possono monetizzare i loro contenuti di rilevazione contribuendo a una difesa informatica a prova di futuro.

Visualizza rilevazioni Unisciti al Threat Bounty

Analisi della vulnerabilità Follina

Sulla scia della vulnerabilità RCE critica in Microsoft SharePoint Server tracciata come CVE-2022-29108, un altro difetto che compromette i prodotti Microsoft viene messo sotto i riflettori. La nuova vulnerabilità zero-day di Microsoft Office soprannominata Follina emerge nella scena delle minacce informatiche quando il team di ricerca giapponese di cybersecurity nao_sec ha individuato un file Word dannoso caricato su VirusTotal da un indirizzo IP bielorusso. Questo documento Word attiva una catena di infezione caricando un file HTML da un modello remoto e porta all’esecuzione del codice PowerShell dannoso per infettare il sistema. 

Ciò che aggrava il problema è che Microsoft Word esegue il codice dannoso tramite Microsoft Support Diagnostics Tool anche con i macro disabilitati. Inoltre, Microsoft Defender for Endpoint non è riuscito a rilevare la falla secondo la ricerca di Kevin Beaumont che ha dato un nome a questa nuova vulnerabilità di esecuzione del codice di Microsoft Office. Il bug influisce su numerose versioni di Office, come 2013 e 2016, inclusa la versione 2021 patchata con altre che potrebbero essere potenzialmente compromesse. Per rispondere tempestivamente a una minaccia, i difensori informatici stanno rilasciando esempi di codice POC della vulnerabilità Follina che aiutano a identificare l’esposizione e sono già disponibili pubblicamente, ad esempio su GitHub.

Poiché la vulnerabilità non è corretta ed è sfruttata in natura, è necessaria un’azione immediata da parte dei fornitori di sicurezza. Come una delle misure di mitigazione della vulnerabilità Follina consigliate, è raccomandato agli utenti Office di applicare gli schemi URI del protocollo MS nelle email di Outlook.

I leader della sicurezza progressiva sono costantemente alla ricerca di soluzioni futuristiche e convenienti per accelerare le capacità di difesa informatica e aumentare la postura di sicurezza informatica dell’organizzazione. Sfruttare la piattaforma Detection as Code di SOC Prime aiuta i team a estrarre più valore dagli investimenti in SIEM e XDR e aumenta significativamente l’efficacia della cybersecurity.

Indice dei Contenuti

Questo articolo è stato utile?

Metti mi piace e condividilo con i tuoi colleghi.
Unisciti alla piattaforma Detection as Code di SOC Prime per migliorare la visibilità sulle minacce più rilevanti per il tuo business. Per aiutarti a iniziare e ottenere valore immediato, prenota ora un incontro con gli esperti di SOC Prime.