Kerentanan Follina non-eksklusif baru berfungsi di Microsoft Office bahkan dengan makro dinonaktifkan

Sesuatu yang kecil: Follina tidak memerlukan hak istimewa yang lebih tinggi atau mengaktifkan makro Office, dan tidak terdeteksi oleh Windows Defender. Ini bekerja pada sebagian besar versi dan sistem operasi Office yang diperbarui sepenuhnya, dengan peneliti menunjukkan bahwa itu dapat dieksploitasi bahkan jika pengguna memilih file berbahaya di Windows Explorer.

hanya peneliti membuka Kerentanan baru di Microsoft Office, yang oleh komunitas Infosec dijuluki Follina. Ini memungkinkan penyerang untuk mengeksekusi perintah Powershell melalui Microsoft Diagnostic Tool (MSDT) segera setelah dokumen Word berbahaya dibuka.

Apa yang membuat kerentanan ini sangat berbahaya adalah bahwa kerentanan ini sepenuhnya melewati deteksi Windows Defender, berjalan tanpa hak istimewa yang lebih tinggi, dan tidak memerlukan makro Office untuk diaktifkan. Sejauh ini, sudah dikonfirmasi berada di Office 2013, 2016, 2019, 2021 dan beberapa versi disertakan dengan lisensi Microsoft 365 di Windows 10 dan 11.

Banyak orang telah mengindikasikan bahwa Mode Terproteksi diperlukan saat membuka dokumen Word. Hanya pengingat bahwa memformat sebagai file teks kaya memungkinkan eksploitasi ketika opsi panel pratinjau explorer diaktifkan (tidak ada tombol edit aktifkan juga;) #Volina #MSDT https://t.co/ZUj5WXeWjN

– Kyle Hanslovan (@KyleHanslovan) 30 Mei 2022

Seperti yang dijelaskan Kevin Beaumont, dokumen jahat menggunakan fitur templat Word jarak jauh untuk mengambil file HTML dari server web jarak jauh. Ini pada gilirannya menggunakan MS-msdt MSProtocol Uniform Resource Identifier (URI) untuk mengeksekusi kode di Powershell.

Tampilan Terlindungi, sebuah fitur yang memperingatkan pengguna tentang file dari lokasi yang berpotensi tidak aman, mengaktifkan dokumen dan menandainya sebagai berpotensi berbahaya. Namun, dengan mengonversi dokumen ke file Rich Text Format (RTF), kerentanan dapat dieksploitasi hanya dengan memilih file (tanpa membukanya) jika opsi panel pratinjau Windows Explorer diaktifkan.

dia berkata pic.twitter.com/Z2AN7nq6hr

– crazyman_army (@CrazymanArmy) 30 Mei 2022

Menariknya, Microsoft telah diberitahu tentang kerentanan ini pada bulan April, tetapi memutuskan untuk mengesampingkannya karena perusahaan tidak dapat mereplikasinya.

Huntress Labs, sebuah perusahaan keamanan siber, mengatakan mereka mengharapkan penyerang untuk mengeksploitasi Follina melalui pengiriman email dan memperingatkan orang-orang untuk tidak membuka lampiran apa pun sampai kerentanan ditambal.