Na przełomie maja i czerwca 2022 wyspecjalizowane serwisy doniosły o nowej krytycznej podatności Follina - wykorzystującym lukę zero-day w systemach Microsoftu.
Follina dotyczy pakietu Microsoft Office i pozwala atakującemu na wykonanie złośliwego kodu na komputerze ofiary, poprzez wykorzystanie mechanizmu wzorców dokumentów tekstowych (Word template). Obecnie nie wiadomo, czy podatność ta została wykorzystana do realizacji faktycznych ataków.
To co czyni Follinę odmienną od wielu innych podatności związanych z możliwościami wykorzystania makr czy skryptów pakietu Office, to właśnie wykorzystanie mechanizmu zdalnych wzorców i brak wykorzystania klasycznych makr, które są blokowane przez popularne pakiety ochrony endpoint. W przypadku tej podatności wzorzec zostaje "zmuszony" do załadowania strony HTML, która poprzez ms-msdt (mechanizm służący do zbierania danych diagnostycznych) wywołuje kod PowerShell-a.
Tego typu podatności pokazują jak ważne jest zapewnienie odpowiedniej jakości ochrony - Follina z założenia nie mogła zostać wykryta przez typowe oprogramowanie AV, także takie, które rozpoznaje i blokuje makra w dokumentach Word-a. Może być jednak zablokowana przez współczesne pakiety XDR, które rozpoznają podjerzane zachowanie związane np. z pobieraniem z sieci skryptów PowerShell-a.
Więcej informacji o ataku Follina znajduje się tutaj: https://threatpost.com/zero-day-follina-bug-lays-older-microsoft-office-versions-open-to-attack/179756/