Apa yang baru saja terjadi? Kerentanan Microsoft Office yang parah telah memungkinkan penyerang untuk mengeksekusi kode pada sistem target yang melewati sebagian besar langkah-langkah keamanan setidaknya selama satu bulan. Para peneliti mengatakan Patch Tuesday minggu ini telah menetralisir kerentanan yang telah dieksploitasi oleh peretas yang didukung negara.
Pengujian yang dilakukan oleh Sophos mengonfirmasi bahwa pembaruan Windows KB5014699 Selasa menetralkan eksploitasi Follina, yang memungkinkan file Microsoft Word berbahaya untuk menjalankan perintah Powershell pada sistem target. Eksploitasi memengaruhi Office 2013, 2016, 2019, 2021, dan beberapa versi Microsoft 365 di Windows 10 dan 11.
Follina bekerja melalui Alat Diagnostik Microsoft untuk mengambil file HTML dari server web jarak jauh dan kemudian menggunakan ms-msdt MSProtocol Uniform Resource Identifier untuk menjalankan kode Powershell. Ini sangat berbahaya karena Windows Defender tidak melindunginya, dan tidak memerlukan hak istimewa yang lebih tinggi atau makro Office untuk bekerja. Bahkan Mode Terlindungi Office — dirancang untuk menghentikan kode berbahaya yang disematkan dalam dokumen — tidak dapat menghentikan Follina. Pengguna dapat memicunya hanya dengan membuka dokumen yang dikompromikan di panel pratinjau Windows Explorer.
Kami menguji pada Windows 11 (KB5014697) dan Windows 10 (KB5014699). Tidak ada pembaruan -> calc muncul / instal pembaruan -> pemecah masalah error / rollback -> moar calc. Tapi masih belum terdaftar sebagai perbaikan keamanan di buletin keamanan Juni 2022…
— Keamanan Telanjang (@NakedSecurity) 15 Juni 2022
Peretas Cina menggunakan eksploitasi terhadap anggota diaspora Tibet. Serangan lain di bulan Mei ditargetkan pengguna di Belarus. Awal bulan ini, Proofpoint diblokir serangan Follina yang menargetkan Uni Eropa dan pemerintah lokal AS, yang diduga berasal dari aktor negara.
Para peneliti memperingatkan Microsoft tentang Follina pada bulan April tetapi pada awalnya, itu tidak menganggap eksploitasi sebagai ancaman keamanan kritis – dilacak sebagai CVE-2022-30190. Catatan tambalan pembaruan KB5014699 tidak menyebutkan Follina, tetapi Sophos melaporkan bahwa pengujian lebih lanjut menunjukkan bahwa bug tidak lagi berfungsi setelah menginstal pembaruan.