Follina exploit je napad koji omogućava one-click RCE (Remote Code execution) na windows operacijskom sustavu žrtve. Iskorištava ranjivost u MSDT-u (Microsoft Diagnostic Tool) URI shemi. Kada iskoriste ovu ranjivost, napadači imaju iste ovlasti kao i žrtva na zaraženom računalu. Sve što žrtva treba napraviti je otvoriti zaraženi MS Word dokument (.docx) i napadač gotovo neprimjetno može zavladati njenim računalom. Ranjivost se prvi puta otkrila sredinom 4/2022., a MS je isporučio zakrpu za ovu ranjivost 14.6.2022.

Follina napad - CVE-2022-30190 dobio je naziv po broju 0438 kojeg je u originalnom kodu malwarea našao Kevin Beaumont koji je prvi otkrio ovaj napad. To je poštanski broj talijanskog gradića Folline.

Živimo u vremenu u kojem su sigurnost podataka, poslovnih ili privatnih, jako vrijedna roba koja uvijek nađe svog kupca. Bilo da neki adolescent želi ugorziti naš računalni sustav radi zabave i dokazivanja ili ozbiljan APT želi ukrasti podatake koje imamo na svojim računalnim sustavima, moramo ovisiti o drugim tvrtkama i inženjerima od kojih kupujemo operacijske sustave, aplikacije, antivirusne programe, mrežni pristup i ostalo. Sve su to napravili ljudi koji, koliko god da su stručni u poslu kojeg rade, nisu savršeni. Ova ranjivost nije bila registrirana od strane inženjera Microsoft MSDT alata koji služi za dijagnosticiranje greški na Windows operacijskim sustavima i otvorila je vrata pojedincima koji su tu grešku iskoristili.

Moderni napadi, kao što je i follina, najčešće su posljedica phishing kampanje koja iskorištava nepažnju i naivnost ljudi. Stoga, ne bi trebali otvarati linkove, a pogotovo attachmente iz elektroničke pošte ili drugih oblika komunikacije sa adresa koje nisu 100% vjerodostojne.

Do 14.6.2022. gotovo su sve Microsoft aplikacije bile ranjive na ovaj napad uključujući aplikacije iz paketa Office suite 2013, 2016, 2019 i 2021, kao i neke verzije Officea koje su uključene uz Microsoft 365 licencu instaliranu na Windows stolnim računalima i poslužiteljima od 2007. godine. Naravno, pretpostavka je da koristimo Windows OS. Budući da je Microsoft Office najpopularniji poslovni softver za produktivnost na svijetu, očekivani utjecaj bio je visok i globalnog opsega, pogađajući većinu osobnih i korporativnih računalnih okruženja. Aplikacije iz Office paketa su ranjive na Follinu čak i kada su isključene Office VBA makro naredbe, što dodatno proširuje opseg potencijalnih žrtava.

MSDT je alat koji pruža dijagnostičke informacije i analize kako bi korisnička podrška mogla rješavati probleme s Microsoft proizvodima. Ovaj alat omogućava prikupljanje informacija o sustavu, postavkama i problemima koji se pojavljuju na računalu te pomaže tehničkoj podršci u identifikaciji i rješavanju problema. Kao i neke druge Microsoftove aplikacije, možemo je pokrenuti i u tražilici ako u URL upišemo “ms-msdt:”. Upravo u takvom načinu poziva se skrivala ranjivost koju ćemo dalje detaljnije opisati

Napadač iskorištava mogućnost MS Office-a da prikazuje externe linkove (npr. tablice sa wikipedie) u jednom dokumentu. Postavlja jedan takav link u word/_rels/document.xml.rels XML datoteku koji se poziva ćim se pokrene Word dokument. Taj URL dohvaća HTML u kojem je maliciozan javascript koji iskorištava MSDT URI scheme ranjivost. To znači da možemo izvršiti Powershell komande nakon postavljanja određenih parametara u pozivu.

Maliciozan javascript:

location.href = “ms-msdt:/id PCWDiagnostic /skip force /param \\”IT_RebrowseForFile=? IT_LaunchMethod=ContextMenu IT_BrowseForFile=$(Invoke-Expression($(Invoke-Expression('[System.Text.Encoding]'+[char]58+[char]58+'UTF8.GetString([System.Convert]'+[char]58+[char]58+'FromBase64String('+[char]34+'{base64_payload}'+[char]34+'))'))))i/../../../../../../../../../../../../../../Windows/System32/mpsigstub.exe\\;

Konkretnije, iskorištavamo ranjivost u IT_BrowseForFile parametru koji se ne validira dobro i na koncu omogućava izvršavanje proivoljnih Powershell komandi. Nažalost, informacije na internetu o konkretnoj ranjivosti su dosta šture.

U “{base64_payload}” ubacimo powershell komande u base64 formatu.

Kada napadač dobije pristup žrtvinom računalu može raditi što god hoće u skladu sa žrtvinim privilegijama na računalu: može instalirati ransomware, rudatiti kriptovalute, ukrasti podatke, izbrisati ih, može se širiti na druga računala u mreži, dodati računalo u botnet mrežu, itd…

Ovaj napad može biti praktički neprimjetan: u Word dokumentu možemo napisati nekakvu naizgled benignu poruku, dohvatiti maliciozan javascript, pokrenuti msdt, odmah ga ugasiti, pokrenuti cmd u skrivenom načinu rada i raditi što god nas je volja dok god ne uznemirujemo žrtvin antivirusni program.

Također, ovaj napad može raditi i u zero-click načinu rada: u scenariju gdje je vrsta datoteke RTF (Rich text Format), Windows Explorer će automatski otvoriti datoteku u preview načinu i pokrenuti maliciozan kod. Ovo uklanja jedan sloj zaštite koji bi spriječio slučajno pokretanje sumnjive zlonamjerne datoteke.

[1] https://hr.wikipedia.org/wiki/