0-day in Office getraceerd naar ontdekking, melding én testing vorig jaar

FortiGuard Labs, het threat intelligence platform en onderzoekscentrum van securityleverancier Fortinet, heeft informatie vergaard over Follina en weet daarbij opvallende verbanden te leggen. De tijdlijn die de onderzoekers nu hebben opgesteld, wijst uit dat de 0-day (CVE-2022-30190) veel ouder is dan eerst gedacht. Én dat het daarbij niet alleen bekend was bij de kwaadwillenden die het vorige maand al hebben ingezet voor hackaanvallen. Andere security-onderzoekers wisten er van, plus Microsoft zelf.

'Social engineering nodig'

De kwetsbaarheid is op 10 maart vorig jaar al gemeld bij Microsoft, stelt Fortinet in zijn blogpost over de Office 0-day. De maker van Windows en Office is toen geïnformeerd door onderzoekers van het Duitse bedrijf Positive Security. De verantwoord gemelde kwetsbaarheid is toen echter door Microsoft afgewezen als serieuze zaak, omdat er enige mate van social engineering nodig zou zijn om een aanval succesvol te laten zijn. Eindgebruikers moeten namelijk 'verleid worden' om een Office-document te openen. Inmiddels is bekend dat dit niet per sé hoeft; de previewfunctionaliteit van de Windows Verkenner kan een aanval ook laten slagen.

In augustus vorig jaar zou Microsoft echter wel zijn Office-app Teams hebben aangepast. De door Positive-onderzoekers gevonden kwetsbaarheid, voor remote code execution (RCE), bleek toen namelijk gefixt. De exploitcode die de ontdekkers hadden aangemaakt, werkte dan ook niet meer via Teams. Microsoft heeft toen niet een formele kwetsbaarhedennummer (CVE, Common Vulnerabilities and Exposures) toegekend. Op 7 december heeft Positive Security een blogpost over deze vondst gepubliceerd.

Tweede ontdekking en melding

Daarna heeft in april dit jaar een andere onderzoeker ('crazyman' van de Shadow Chaser Group) misbruik van het beveiligingsgat ontdekt en gemeld bij Microsoft. Daarbij was de kwetsbaarheid toen benut in een malafide Word-document, dat is ingezet voor een echte aanval op een doelwit in of gelinkt aan Rusland. Ook toen heeft Microsoft echter geoordeeld dat het niet om een (ernstige) securitykwestie ging.

Eind mei heeft een Japanse security-onderzoeker een malafide Word-document uit Wit-Rusland opgemerkt met deze kwetsbaarheid. Toen is de bal aan het rollen gegaan en zijn meerdere beveiligingsexperts deze zaak gaan uitzoeken. Één van de nieuwe bevindingen nu is dat het zogeheten Follina-gat dus niet in april pas is begonnen, én dat het niet alleen tussen enkele melders en Microsoft heeft gespeeld.

In oktober getest

Exploitcode voor deze 0-day zou in oktober 2021 al zijn getest, tweet onderzoeker '2ero' die wordt aangehaald door de bekende expert Jake Williams (van onder meer het SANS Institute). Deze claim van testen is gebaseerd op analyse van documenten die met scannen nu zijn achterhaald. "En dit is slechts wat we nu weten", merkt Williams op. Hij stelt dat de kern van het verhaal is dat er niet slechts drie gerichte aanvallen waren. "Er waren drie verschillende aanvallen *waar we nu van weten*." Williams stelt de kritische vraag aan IT-beveiligers en beheerders hoe ver terug hun logs en analysemogelijkheden gaan.

Ondertussen zijn er ook berichten opgedoken dat de onderliggende Windows-kwetsbaarheid voor Follina in wezen nóg eerder al enigszins bekend was. Het risico van het MS-MSDT protocol, voor Windows' ingebouwde supporthulpmiddel Microsoft Support Diagnostic Tool, is als zijdelingse zaak opgenomen in een onderzoekspaper van augustus 2020. Een Duitse IT-student heeft in zijn paper over de beveiliging van Electron-apps opgemerkt (op pagina 29) dat dit Microsoft-protocol plus de bijbehorende Windows-supporttool heel nuttig kunnen zijn voor aanvallers.