I ricercatori della Nao_Sec hanno scoperto un documento di Word dal comportamento “insolito”. Le prime tracce di questo documento si hanno da VirusTotal, noto portale web per la scansione ed analisi di file presumibilmente infetti da Malware.

Negli scorsi giorni, il personale della Nao_Sec ha comunicato su Twitter di aver scoperto una nuova vulnerabilità presente nella suite di Office, attualmente sfruttata per l’infezione da parte di Malware.

La vulnerabilità è stata scoperta attraverso l’analisi di un file analizzato tramite VirusTotal. E’ emerso che da indirizzo IP di provenienza Bielorussa è stato effettuato l’upload di un documento con estensione “.doc” al cui interno si cela una parte di codice che permette l’esecuzione di codice arbitrario sul sistema che ha effettuato l’apertura del documento malevolo. L’esecuzione del codice arbitrario avviene attraverso una vulnerabilità di cui non si avevano tracce in precedenza.

Al nuovo malware è stato assegnato il nome di “Follina”, poiché al suo interno è stata trovata la sequenza numerica “0438”, che rappresenta il prefisso telefonico per l’appunto del paese di Follina, nella provincia di Treviso.

La vulnerabilità sfrutta la funzionalità di template remoti di Microsoft Word per effettuare il download di un file HTML da un sistema remoto attraverso la rete internet. All’interno di tale file si trova un richiamo al protocollo “ms-msdt”. Tale protocollo negli ambienti Microsoft viene utilizzato per la raccolta dati e la risoluzione automatica dei problemi del sistema operativo. In questo caso, attraverso specifiche opzioni, viene utilizzato per l’esecuzione di una serie di comandi che terminano con l’esecuzione del Malware stesso. Come dichiarato dai ricercatori “tale utilizzo del protocollo ms-msdt non era previsto dal personale Microsoft”.

Purtroppo non è stato possibile effettuare un’analisi completa delle azioni intraprese dal malware a seguito della sua esecuzione, poiché nel momento in cui è stata effettuata la scoperta dai ricercatori, i sistemi da cui veniva prelevata una parte del Malware risultavano non più disponibili. Esso rappresenta però un’importante vulnerabilità che potrebbe essere attualmente sfruttata da malintenzionati, attraverso semplici E-Mail che contengono al loro interno il documento malevolo.

Attualmente l’Antivirus di sistema presente su tutti i sistemi operativi Microsoft (Windows Defender) non risulta essere in grado di rilevare o bloccare tale Malware. I ricercatori hanno effettuato molteplici test su diverse versioni di Office, e ne è risultato che la vulnerabilità funziona su tutte le versioni di Office, ad esclusione dell’ultima versione di Office 365 su cui sono state applicate tutte le correzioni di sicurezza disponibili. Questo indica che il personale di Microsoft sta lavorando ad una possibile soluzione, che verrà presumibilmente rilasciata nei prossimi giorni.

Il nostro consiglio è quello di diffidare da ogni documento Word ricevuto, soprattutto se proveniente da una fonte non attendibile. Nel caso di dubbi sul contenuto, effettuare una scansione del file attraverso VirusTotal (https://www.virustotal.com/) prima dell’apertura dello stesso. Alcuni antivirus sono attualmente in grado di rilevare e bloccare tale problematica di sicurezza, tra cui possiamo citare Sophos, TrendMicro, Symantec, Bitdefender e NOD32. Nel caso di un ambiente aziendale, provvedere prontamente a dare comunicazione della problematica di sicurezza al personale dipendente, offrendo loro una chiara descrizione dei potenziali rischi che si possono avere nell’aprire un documento Word proveniente da una fonte non attendibile.