Follina exploit je napad koji omogućava one-click RCE (Remote Code execution) na windows operacijskom sustavu žrtve. Iskorištava ranjivost u MSDT-u (Microsoft Diagnostic Tool) URI shemi. Kada iskoriste ovu ranjivost, napadači imaju iste ovlasti kao i žrtva na zaraženom računalu. Sve što žrtva treba napraviti je otvoriti zaraženi MS Word dokument (.docx) i napadač gotovo neprimjetno može zavladati njenim računalom. Ranjivost se prvi puta otkrila sredinom 4/2022., a MS je isporučio zakrpu za ovu ranjivost 14.6.2022.

Živimo u vremenu u kojem su sigurnost podataka, poslovnih ili privatnih, jako vrijedna roba koja uvijek nađe svog kupca. Bilo da neki adolescent želi ugorziti naš računalni sustav radi zabave i dokazivanja ili ozbiljan ATP želi unovčiti vrijednost podataka koje imamo na svojim računalnim sustavima, moramo ovisiti o drugim tvrtkama i inženjerima od kojih kupujemo operacijske sustave, aplikacije, antivirusne programe, mrežni pristup,… Sve su to napravili ljudi koji, koliko god da su stručni u poslu kojeg rade, nisu savršeni. Ova ranjivost zaobišla je umove inženjera Microsoft MSDT alata koji služi za dijagnosticiranje greški na Windows operacijskim sustavima i nanjela veliku štetu žrtvama. Moderni napadi, kao što je i follina, najčešće su posljedica phishing kampanje. Stoga, ne bi trebali otvarati linkove, a pogotovo attachmente iz pošte sa adresa za koje nisu 100% vjerodostojne.

Do 14.6.2022. gotovo su sve Microsoft aplikacije bile ranjive na ovaj napad uključujući aplikacije iz paketa Office suite 2013, 2016, 2019 i 2021, kao i neke verzije Officea koje su uključene uz Microsoft 365 licencu instaliranu na Windows stolnim računalima i poslužiteljima od 2007. godine. Naravno, pretpostavka je da koristimo Windows OS. Budući da je Microsoft Office najpopularniji poslovni softver za produktivnost na svijetu, očekivani utjecaj bio je visok i globalnog opsega, pogođavajući većinu osobnih i korporativnih računalnih okruženja. Aplikacije iz Office paketa su ranjive na Follinu čak i kada su isključene Office VBA makro naredbe, što dodatno proširuje opseg potencijalnih žrtava.

Follina napad - CVE-2022-30190 dobio je naziv po broju 0438 kojeg je u originalnom kodu malwarea našao Kevin Beaumont koji je prvi otkrio ovaj napad. To je poštanski broj talijanskog gradića Folline.

Napadač iskorištava mogućnost MS Office-a da prikazuje externe linkove (npr. tablice sa wikipedie) u jednom dokumentu. Postavlja jedan takav link u word/_rels/document.xml.rels XML datoteku koji se poziva ćim se pokrene Word dokument. Taj URL dohvaća HTML u kojem je maliciozan javascript koji iskorištava MSDT URI scheme ranjivost. To znači da možemo izvršiti Powershell komande nakon postavljanja određenih parametara u pozivu.

Maliciozan javascript:

location.href = “ms-msdt:/id PCWDiagnostic /skip force /param \\”IT_RebrowseForFile=? IT_LaunchMethod=ContextMenu IT_BrowseForFile=$(Invoke-Expression($(Invoke-Expression('[System.Text.Encoding]'+[char]58+[char]58+'UTF8.GetString([System.Convert]'+[char]58+[char]58+'FromBase64String('+[char]34+'{base64_payload}'+[char]34+'))'))))i/../../../../../../../../../../../../../../Windows/System32/mpsigstub.exe\\;

Konkretnije, iskorištavamo ranjivost u IT_BrowseForFile parametru, ali nažalost nisam na internetu uspio pronaći zašto to baš tako radi, jer bi MSDT prije nego što se dopusti runnanje koda trebao pitati za šifru koju nam je dao IT support. Svi ovi parametri na neki način zaobilaze tu početnu proceduru.

U “{base64_payload}” ubacimo powershell komande u base64 formatu.

Kada napadač dobije pristup žrtvinom računalu može raditi što god hoće u skladu sa žrtvinim privilegijama na računalu: može instalirati ransomware, rudatiti kriptovalute, ukrasti podatke, izbrisati ih, može se širiti na druga računala u mreži, dodati računalo u botnet mrežu, itd…

Ovaj napad može biti praktički neprimjetan, u Word dokumentu možemo napisati nekakvu naizgled benignu poruku, dohvatiti maliciozan javascript, pokrenuti msdt, odmah ga ugasiti, pokrenuti cmd u skrivenom načinu rada i raditi što god nas je volja dok god ne uznemirujemo naš antivirusni program.

[1] https://hr.wikipedia.org/wiki/