skip to Main Content

Cybercrime, l’exploit Follina usa Microsoft Office per attaccare

Follina usa Microsoft Office per attaccare. Gli esperti di cybersecurity di Yoroi: l’exploit è la risultante di una concatenazione di un attacco già noto e dello sfruttamento di componenti legittimi su Windows: Template injection e Lolbin

Follina è una nuova tecnica di attacco su Microsoft Office, attualmente testata da attori del cybercrime. Lo denunciano gli esperti di cybersecurity di Yoroi. L’exploit è la risultante di una concatenazione di un attacco già noto e dello sfruttamento di componenti legittimi forniti dall’ambiente Windows. In particolare:

  • Template Injection: è possibile creare o modificare i riferimenti nei modelli di documenti office per nascondere codice malevolo o forzare l’autenticazione della vittima, in questo caso il template carica un HTML contenente uno script Powershell; questa tecnica risulta molto utilizzata da attori di tipo APT;
  • Lolbin: lo script Powershell utilizza il componente “msdt” di Microsoft, tool di diagnostica di Microsoft, abusato per eseguire codice malevolo.

Il caricamento del template avviene immediatamente durante l’apertura del documento Word. Una volta effettuato il suo download, il codice malevolo viene eseguito anche se le macro sono disabilitate. La tecnica,al momento non viene individuata da strumenti di protezione come l’Endpoint Detection and Response (EDR). I campioni disponibili ad oggi mostrano un utilizzo di test della tecnica di attacco; non si esclude quindi che nei prossimi giorni quest’ultima venga utilizzata per distribuire campagne malware.

Back To Top