A fines de mayor de 2022 unos investigadores habían descubierto una vulnerabilidad de zero-day que afecta a los usuarios de Microsoft Windows y que permite a un atacante apropiarse remotamente de la máquina víctima a través de comandos maliciosos con solamente abrir un documento de Microsoft Office. Lo más alarmante es que fue descubierta mucho antes, supuestamente en abril y misma fue reportada a Microsoft, pero este se hizo la "vista gorda" y no  le dio importancia. El investigador Nao_Sec reveló en su cuenta de twitter que le había llegado un documento malicioso con un enlace externo asociado al doc para cagar el HTML y ejecutar el código PowerShell.

Nao_Sec se encontraba probando malwares en virustotal hasta que se encontro con el siguiente fragmento de código:


- https://www.virustotal.com/gui/file/4a24048f81afbe9fb62e7a6a49adbd1faf41f266b5f9feecdceb567aec096784/detection


Algo muy importante de esta vulnerabilidad es que no es necesario habilitar los MACROS para que el malware sea ejecutado.


ms-msdt es una herramienta de soporte que recopila información para posteriormente ser enviada y analizada por los técnicos de Microsoft. Esta herramienta permite descargar la información  de una URL ofuscada en base64 y si nos ponemos a observar detalladamente la imagen, vemos que intenta descargar mpsigstub.exe que también es desarrollado por Microsoft para extraer los archivos  de actualización en un directorio temporal.

El investigador subió la muestra a ANY-RUN, es decir, es un sandbox en línea para analizar la muestra de la ejecución del malware en tiempo real.


- https://app.any.run/tasks/713f05d2-fe78-4b9d-a744-f7c133e3fafb/


URL ofuscada a base64:

Código decode base64 Python3:

Con bash también es posible decodificarlo:


DECODE:

Nos damos una idea de que utiliza el CMD (Comando de la terminal) para ejecutar un comando e iniciar un proceso "oculto", luego mata el proceso msdt.exe (taskkill), seguidamente ejecuta otro proceso y descarga un archivo .RAR (05-2022-0438.rar) para guardarlo dentro de una variable que contenga un string específico por medio del certutil ya que este es una de la técnicas más conocidas para ejecutar malware porque permite instalar, realizar copias de seguridad y administrar certificados de Windows. Finalmente expande el archivo y tratará de ejecutar rgb.exe.

Microsoft entrego una guía para poder deshabilitar el protocolo de URL para que ms-msdt no pueda descargar archivos desde el exterior. Es IMPORTANTE aclarar que no se trata de un parche, sino que de un Workarounds (soluciones alternativas), la vulnerabilidad zero-day aún no tiene un parche oficial y sigue siendo explotada.

- https://msrc-blog.microsoft.com/2022/05/30/guidance-for-cve-2022-30190-microsoft-support-diagnostic-tool-vulnerability/

En github ya se han publicado varios códigos para replicar la vulnerabilidad "Follina" de forma local, como por ejemplo:

- https://github.com/chvancooten/follina.py
- https://github.com/JohnHammond/msdt-follina

Para poder hacer uso de él debemos clonarlo y luego especificar párametros. Para ejecutar un binario local:

Se genera un archivo "clickme.docx" que dentro contiene un payload que sera iniciado en el servidor web (http://localhost:80/exploit.html).


Obtener una reverse shell:


Luego se inicia un servidor local para ser descargado y ejecutado en la máquina Windows:



#R3LI4NT