Vulnerabilità Windows MSDT usata per cyberattacco

Vulnerabilità Windows MSDT usata per cyberattacco

Un gruppo di cybercriminali cinesi ha già effettuato un attacco sfruttando la vulnerabilità zero-day in MSDT, per la quale non c'è ancora la patch.
Un gruppo di cybercriminali cinesi ha già effettuato un attacco sfruttando la vulnerabilità zero-day in MSDT, per la quale non c'è ancora la patch.

L’azienda di Redmond ha confermato la vulnerabilità nel Microsoft Support Diagnostic Tool (MSDT) di Windows, ma non ha ancora rilasciato una patch. I cybercriminali cinesi del gruppo TA413 ha subito approfittato dell’occasione per effettuare un attacco contro la comunità tibetana. I principali antivirus, tra cui Norton 360 Premium, rilevano e bloccano il malware che sfrutta il bug.

Exploit per la vulnerabilità zero-day

La vulnerabilità, indicata con CVE-2022-30190 e soprannominata Follina dal ricercatore Kevin Beaumont, può essere sfruttata per eseguire codice remoto sul computer Windows. È sufficiente inserire il link ad un file infetto all’interno di un documento Word.

Un file HTML viene scaricato da un server quando l’ignara vittima apre il documento o visualizza l’anteprima in Esplora file. Successivamente viene utilizzato il protocollo MSDT per eseguire il codice infetto attraverso comandi PowerShell. L’attacco effettuato dai cybercriminali cinesi sfrutta la tecnica con un documento Word nascosto in un archivio ZIP. La vulnerabilità permette di eseguire diversi azioni pericolose, come installare malware, visualizzare dati e creare account.

Microsoft ha suggerito di attivare la Visualizzazione protetta di Office, ma i ricercatori di sicurezza hanno scoperto che è sufficiente cambiare il formato in RTF per aggirare la protezione. Gli utenti devono innanzitutto disattivare l’anteprima in Esplora file. In attesa della patch risolutiva è consigliata inoltre la disattivazione del protocollo MSDT, cancellando la chiave di registro corrispondente.

Come detto, la maggioranza delle soluzioni di sicurezza può individuare il malware (il trojan Mesdetty). Una delle più efficaci è Norton 360 Premium, attualmente disponibile con uno sconto del 57%.

Questo articolo contiene link di affiliazione: acquisti o ordini effettuati tramite tali link permetteranno al nostro sito di ricevere una commissione.

Link copiato negli appunti

Ti potrebbe interessare

Pubblicato il 1 giu 2022
Link copiato negli appunti