Follina exploit je napad koji omogućava one-click RCE (Remote Code execution) na windows operacijskom sustavu žrtve. Iskorištava ranjivost u MSDT-u (Microsoft Diagnostic Tool) URI shemi. Kada iskoriste ovu ranjivost, napadači imaju iste ovlasti kao i žrtva na zaraženom računalu. Sve što žrtva treba napraviti je otvoriti zaraženi MS Word dokument (.docx) i napadač gotovo neprimjetno može zavladati njenim računalom. Ranjivost se prvi puta otkrila sredinom 4/2022., a MS je isporučio zakrpu za ovu ranjivost 14.6.2022.

Follina napad - CVE-2022-30190 dobio je naziv po broju 0438 kojeg je u originalnom kodu malwarea našao Kevin Beaumont koji je prvi otkrio ovaj napad. To je poštanski broj talijanskog gradića Folline.

Živimo u vremenu u kojem su sigurnost podataka, poslovnih ili privatnih, jako vrijedna roba koja uvijek nađe svog kupca. Bilo da neki adolescent želi ugorziti naš računalni sustav radi zabave i dokazivanja ili ozbiljan APT želi ukrasti podatake koje imamo na svojim računalnim sustavima, moramo ovisiti o drugim tvrtkama i inženjerima od kojih kupujemo operacijske sustave, aplikacije, antivirusne programe, mrežni pristup i ostalo. Sve su to napravili ljudi koji, koliko god da su stručni u poslu kojeg rade, nisu savršeni. Ova ranjivost nije bila registrirana od strane inženjera Microsoft MSDT alata koji služi za dijagnosticiranje greški na Windows operacijskim sustavima i otvorila je vrata pojedincima koji su tu grešku iskoristili.

Moderni napadi, kao što je i follina, najčešće su posljedica phishing kampanje koja iskorištava nepažnju i naivnost ljudi. Stoga, ne bi trebali otvarati linkove, a pogotovo attachmente iz elektroničke pošte ili drugih oblika komunikacije sa adresa koje nisu 100% vjerodostojne.

Do 14.6.2022. gotovo su sve Microsoft aplikacije bile ranjive na ovaj napad uključujući aplikacije iz paketa Office suite 2013, 2016, 2019 i 2021, kao i neke verzije Officea koje su uključene uz Microsoft 365 licencu instaliranu na Windows stolnim računalima i poslužiteljima od 2007. godine. Naravno, pretpostavka je da koristimo Windows OS. Budući da je Microsoft Office najpopularniji poslovni softver za produktivnost na svijetu, očekivani utjecaj bio je visok i globalnog opsega, pogađajući većinu osobnih i korporativnih računalnih okruženja. Aplikacije iz Office paketa su ranjive na Follinu čak i kada su isključene Office VBA makro naredbe, što dodatno proširuje opseg potencijalnih žrtava.

MSDT je alat koji pruža dijagnostičke informacije i analize kako bi korisnička podrška mogla rješavati probleme s Microsoft proizvodima. Ovaj alat omogućava prikupljanje informacija o sustavu, postavkama i problemima koji se pojavljuju na računalu te pomaže tehničkoj podršci u identifikaciji i rješavanju problema. Kao i neke druge Microsoftove aplikacije, možemo je pokrenuti i u tražilici ako u URL upišemo “ms-msdt:”. Upravo u takvom načinu poziva se skrivala ranjivost koju ćemo dalje detaljnije opisati

Napadač iskorištava mogućnost MS Office-a da prikazuje externe web sadržaje(npr. tablice sa wikipedie) u jednom dokumentu. Postavlja jedan takav link u word/_rels/document.xml.rels XML datoteku koji se poziva ćim se pokrene Word dokument. Taj URL dohvaća HTML u kojem je maliciozan javascript koji iskorištava MSDT URI scheme ranjivost. To znači da možemo izvršiti Powershell komande nakon postavljanja određenih parametara u pozivu.

Maliciozan javascript:

location.href = “ms-msdt:/id PCWDiagnostic /skip force /param \\”IT_RebrowseForFile=? IT_LaunchMethod=ContextMenu IT_BrowseForFile=$(Invoke-Expression($(Invoke-Expression('[System.Text.Encoding]'+[char]58+[char]58+'UTF8.GetString([System.Convert]'+[char]58+[char]58+'FromBase64String('+[char]34+'{base64_payload}'+[char]34+'))'))))i/../../../../../../../../../../../../../../Windows/System32/mpsigstub.exe\\;

Konkretnije, iskorištavamo ranjivost u IT_BrowseForFile parametru koji se ne validira dobro i na koncu omogućava izvršavanje proivoljnih Powershell komandi. Nažalost, informacije na internetu o konkretnoj ranjivosti su dosta šture.

U “{base64_payload}” ubacimo powershell komande u base64 formatu.

Kada napadač dobije pristup žrtvinom računalu može raditi što god hoće u skladu sa žrtvinim privilegijama na računalu: može instalirati ransomware, rudatiti kriptovalute, ukrasti podatke, izbrisati ih, može se širiti na druga računala u mreži, dodati računalo u botnet mrežu, itd…

Ovaj napad može biti praktički neprimjetan: u Word dokumentu možemo napisati nekakvu naizgled benignu poruku, dohvatiti maliciozan javascript, pokrenuti msdt, odmah ga ugasiti, pokrenuti cmd u skrivenom načinu rada i raditi što god nas je volja dok god ne uznemirujemo žrtvin antivirusni program.

Također, ovaj napad može raditi i u zero-click načinu rada: u scenariju gdje je vrsta datoteke RTF (Rich text Format), Windows Explorer će automatski otvoriti datoteku u preview načinu i pokrenuti maliciozan kod. Ovo uklanja jedan sloj zaštite koji bi spriječio slučajno pokretanje sumnjive zlonamjerne datoteke.

Možemo zaključiti da MS Office alati još uvijek nisu na sigurnosnom nivou na kakvom bi trebali biti. Ovo nije prva (najvjerojatnije ni zadnja) kritična ranjivost otkrivena u Officeu. Većina laika, a ponekad i nas stručnjaka, misle da ako su dobili datoteku koja na prvu izgleda benigno, kao što je Word, Excel ili PDF datoteka, mogu downloadti i pokrenuti bez straha da je ona maliciozna. Ovaj slučaj, a i još puno drugih ranjivosti, pokazuje da to nije tako. Za svaku datoteku koju dobijemo putem internata, moramo provjeriti vjerodostojnost pošiljatelja, i ako nam netko bez razloga šalje poštu to prijaviti našem email provideru.

[1] https://innovatecybersecurity.com/security-threat-advisory/follina-zero-day-allows-zero-click-rce-from-office-docs/

[2] https://www.blackberry.com/us/en/solutions/endpoint-security/security-vulnerabilities/follina-vulnerability

[3] https://www.youtube.com/watch?v=dGCOhORNKRk&t=757sy

[4] https://www.hackthebox.com/blog/cve-2022-30190-follina-explained