Come difendersi da "Follina", il bug di Windows col nome italiano
Porta il nome di un grazioso Comune trevigiano, ma in realtà è un pericoloso bug che mette a rischio i PC Windows: ecco come difendersi da "Follina"
Un tempo Follina, piccolo comune da 3.800 abitanti Patrimonio Unesco in Provincia di Treviso, era famoso per la sua splendida Abbazia di Santa Maria. Oggi è un po’ famoso anche per un bug, molto pericoloso, del sistema operativo Microsoft Windows che porta il suo nome. Un nome che deriva da una coincidenza, ma che ci aiuta a identificare meglio il problema.
Perché Follina è un grosso problema: dopo diversi mesi durante i quali lo ha completamente ignorato, il 30 maggio 2022 Microsoft ha ufficialmente riconosciuto questo bug come vulnerabilità pericolosa per la sicurezza di Windows e gli ha assegnato un numero CVE (Common Vulnerabilities and Exposures) e uno score di pericolosità pari a 7,8 su 10. Non male per un bug che porta il nome di un paesino. Il motivo di tanta pericolosità è soprattutto uno: Follina è una vulnerabilità cosiddetta "low interaction remote code execution". Ciò vuol dire che può essere sfruttata da remoto e che basta una interazione minima da parte dell’utente, che non deve fare quasi niente per attivarla. E, attivandola, si può permettere ad un hacker di spiare i dati dell’utente e di trasmettere al computer della vittima di tutto e di più. compresi malware e virus di vario tipo.
Come funziona Follina
Follina, spiegano diversi ricercatori di sicurezza, è nello specifico una vulnerabilità di Microsoft Office che permette agli hacker di attaccare Microsoft Windows. Tutto parte dal solito file allegato alla solita email ma, a differenza di altre vulnerabilità, non serve che l’utente apra il file e che attivi le macro per eseguire un codice.
Al contrario, Follina si basa sull’anteprima del file generata da Office e da Windows in modo automatico. All’interno dell’anteprima del file, infatti, possono essere inseriti dei codici malevoli che permettono di attivare il Microsoft Support Diagnostic Tool (MSDT). Il MSDT è uno strumento diagnostico presente in Windows (da Windows 7 in poi), che viene usato dal supporto online di Microsoft in fase di diagnosi dei problemi.
La sequenza dell’attacco, quindi, è più o meno questa: l’utente apre l’email, che contiene l’allegato, che contiene il codice che attiva MSDT e grazie al quale un attaccante può agire da remoto sul computer della vittima. Windows, nella sua descrizione di Follina (CVE-2022-30190), spiega che l’attaccante può "installare programmi, vedere, modificare e cancellare dati, creare nuovi account in base ai privilegi dell’utente attaccato".
Perché si chiama Follina
A questo punto, anzi da ben prima, vi starete chiedendo perché questo bug di sicurezza è stato ribattezzato "Follina", come il Comune nell’Alta Marca trevigiana. Il motivo è bizzarro, ma semplice.
Il ricercatore di sicurezza Kevin Beaumont ha trovato, in uno dei primi tentati attacchi, un file Word allegato (quello che serve ad attivare la vulnerabilità) dal nome "05-2022-0438[.]doc". Il numero 0438 è anche il prefisso telefonico di Follina, da qui la scelta del nome di questo pericoloso bug.
Follina è già stata sfruttata
Da quando Follina è salito agli onori delle cronache, diverse società che sviluppano sistemi di cyber sicurezza e antivirus hanno iniziato a descrivere probabili attacchi già avvenuti sfruttando il bug.
Secondo Proofpoint, ad esempio, il collettivo hacker cinese TA413 (che sembrerebbe legato al Governo di Pechino) avrebbe già sfruttato attivamente la vulnerabilità Follina per colpire l’Amministrazione centrale tibetana (cioè il Governo tibetano in esilio).
Secondo il MalwareHunterTeam italiano, invece, Follina sarebbe stata utilizzata per trasmettere file allegati in cinese infetti da virus. Kaspersky, poi, ha già registrato diversi attacchi in USA, Brasile, Messico e Russia.
L’ultimo tentativo di attacco tramite Follina è quello contenuto in una email, per fortuna in inglese, che sta girando negli ultimi giorni. Nell’email si parla di un aumento di stipendio "come da contratto allegato": l’utente deve solo fare click sul documento allegato per aprirne l’anteprima e innescare Follina.
Come difendersi da Follina
Follina, quindi, è molto pericoloso e Microsoft finalmente lo certifica con uno score di 7,8/10. Purtroppo, però, Microsoft non ha ancora pubblicato una patch, cioè una toppa che chiude la falla di sicurezza. Ci sono, però, almeno due modi per difendersi da Follina.
Poiché tutto, quasi sempre, parte da una email con un allegato, la prima cosa da fare è blindare la casella email usando un buon antivirus in grado di fare la scansione accurata degli allegati. In tal modo, se uno degli allegati è stato strutturato per sfruttare Follina, l’email verrà bloccata.
Microsoft ricorda che, integrato in Windows, c’è sempre Microsoft Defender. L’antivirus gratuito di Microsoft può essere sufficiente a bloccare gli attacchi basati su Follina ma, spiega la casa di Redmond, affinché ciò sia vero è necessario lasciare attivata anche la protezione cloud.
Poi va ricordato che Follina usa il Microsoft Support Diagnostic Tool, che non è un componente essenziale di Windows e può anche essere disabilitato. Per farlo, però, è necessario mettere mano al registro di sistema e questa è un’operazione sempre molto delicata e potenzialmente pericolosa, non adatta ad un principiante.
In attesa che Microsoft pubblichi una patch contro Follina, quindi, forse è il caso di portare il computer da un tecnico e chiedergli di fare il possibile per "rinforzare le difese immunitarie" di Windows.