SonicWall: protezione contro Follina (CVE-2022-30190)

SonicWall: protezione contro Follina (CVE-2022-30190)

CVE-2022-30190 alias Follina, la vulnerabilità zero-day di Microsoft Office consente ad applicazioni come Microsoft Word di eseguire codice (senza macro) chiamando le routine MSDT (Microsoft Support Diagnostic Tool) utilizzando il protocollo “ms-msdt:/”. È stata notata come uno zero-day sfruttato in the wild, ma è stata menzionata per la prima volta nel 2020 in una tesi di laurea piuttosto interessante di Benjamin Altpeter il 01 agosto 2020.
Un aggressore che sfrutti con successo questa vulnerabilità può eseguire codice arbitrario con i privilegi dell’applicazione chiamante.

Come funziona?
L’exploit funziona come segue: L’utente apre un file Microsoft Office non dannoso (Word, Excel, RTF, …) che fa riferimento a un file modello HTML remoto dannoso. Il file remoto viene scaricato e viene eseguito il payload incorporato, contenente codice per abusare del protocollo ms-msdt e invocare azioni sull’host compromesso.

SonicWall offre la seguente protezione contro questa minaccia:
Questa minaccia viene rilevata in modo proattivo da Capture ATP w/RTDMI.
IPS: 2771 Microsoft Support Diagnostic Tool RCE (Follina)
IPS: 2772 Microsoft Support Diagnostic Tool RCE (Follina)
IPS: 2773 Microsoft Support Diagnostic Tool RCE (Follina)
IPS: 2774 Microsoft Support Diagnostic Tool RCE (Follina)
GAV: CVE-2022-30190.X
GAV: CVE-2022-30190.X_1
GAV: CVE-2022-30190.X_2