Microsoft так и не выпустила исправление уязвимости Follina в компоненте Windows

Злоумышленники активно используют неисправленную уязвимость удаленного выполнения кода (RCE) в компоненте Windows, называемом Microsoft Support Diagnostic Tool (MSDT), для чего используются документы Word, предназначенные для атаки на пользователей.

Microsoft на данный момент ответила лишь рекомендациями по смягчению последствий, которые можно использовать для блокировки атак до тех пор, пока не будет выпущено постоянное исправление.

Эксплойт для указанной уязвимости, теперь отслеживаемый как CVE-2022-30190, был обнаружен независимой исследовательской группой nao_sec, которая выявила вредоносный документ Word, отправленный на VirusTotal с IP-адреса в Беларуси. Однако были обнаружены и другие вредоносные образцы, датированные апрелем, и это позволяет предположить, что уязвимость эксплуатировалась более месяца.

Поскольку первоначальный эксплойт был представлен в виде документа Word, изначально ходили слухи, что уязвимость находится в Word или более крупном пакете Office. Однако исследователь безопасности Кевин Бомонт, который назвал уязвимость Follina до того, как у нее появился идентификатор CVE, проанализировал эксплойт и пришел к выводу, что Follina использует для атаки удалённый шаблон Word, чтобы выполнить извлечение HTML-файла с удаленного сервера, а затем URL-схему ms-msdt для последующей загрузки вредоносного кода, а также скрипта PowerShell.

Прямо сейчас для данной уязвимости нет никакого исправления, выпущенного непосредственно Microsoft. Но предлагаются рекомендации, позволяющие смягчить, но не устранить все возможные последствия. А пока, по-видимому, Follina активно используется злоумышленниками.