Em poucas palavras: O Follina não exige que privilégios elevados ou macros do Office sejam habilitados e não é detectado pelo Windows Defender. Ele funciona na maioria das versões e sistemas operacionais do Office totalmente atualizados, com pesquisadores apontando que ele pode ser explorado mesmo se um usuário selecionar um arquivo malicioso no Windows Explorer.
Os pesquisadores acabaram de revelado uma nova vulnerabilidade de dia zero no Microsoft Office, que a comunidade infosec apelidou de Follina. Ele permite que os invasores executem comandos do Powershell por meio da Microsoft Diagnostic Tool (MSDT) assim que um documento malicioso do Word for aberto.
O que torna essa vulnerabilidade especialmente perigosa é que ela ignora completamente a detecção do Windows Defender, funciona sem privilégios elevados e não exige que as macros do Office sejam habilitadas. Até agora, foi confirmado que está presente no Office 2013, 2016, 2019, 2021 e em algumas versões incluídas com uma licença do Microsoft 365 no Windows 10 e 11.
Muitas pessoas apontaram que o Modo Protegido é necessário ao abrir o documento do Word. Apenas um lembrete de que a formatação como um arquivo Rich Text permite a exploração quando a opção do painel de visualização do Explorer está ativada (sem o botão Ativar edição também;) #Follina #MSDT https://t.co/ZUj5WXeWjN
– Kyle Hanslovan (@KyleHanslovan) 30 de maio de 2022
Como explica Kevin Beaumont, um documento malicioso usa o recurso de modelo remoto do Word para recuperar um arquivo HTML de um servidor web remoto. Isso, por sua vez, usa o esquema ms-msdt MSProtocol Uniform Resource Identifier (URI) para executar o código no Powershell.
O Protected View, um recurso que alerta os usuários sobre arquivos de locais potencialmente inseguros, ativa e sinaliza o documento como potencialmente malicioso. No entanto, ao converter o documento em um arquivo Rich Text Format (RTF), a vulnerabilidade pode ser explorada simplesmente selecionando o arquivo (sem abri-lo) se a opção do painel de visualização do Windows Explorer estiver habilitada.
Diz pic.twitter.com/Z2AN7nq6hr
— crazyman_army (@CrazymanArmy) 30 de maio de 2022
Curiosamente, a Microsoft foi informada dessa vulnerabilidade em abril, mas decidiu descartá-la, pois a empresa não podia replicá-la.
A Huntress Labs, uma empresa de segurança cibernética, diz que espera que os invasores explorem o Follina por meio de entrega por e-mail e alerta as pessoas para ficarem atentas ao abrir qualquer anexo até que a vulnerabilidade seja corrigida.