Durante l’ultimo fine settimana di maggio venne scoperta una falla – soprannominata Follina – nello strumento di diagnostica di Microsoft, il Support Diagnostic Tool, che poteva essere sfruttata tramite un documento di Word appositamente creato al fine di prendere da remoto il controllo del computer preso di mira.
Il lunedì successivo Microsoft pubblicò alcuni suggerimenti da adottare per mitigare l’impatto della vulnerabilità; l’impressione comune era che quelle indicate fossero misure temporanee, rese note in attesa di una patch che risolvesse il problema alla radice.
Il giorno successivo, le cose peggiorarono: la US Cybersecurity and Infrastructure Security Agency diramò un avviso in cui affermava che la vulnerabilità poteva essere sfruttata da un «soggetto remoto senza autenticazione» per «prendere il controllo del sistema».
Microsoft non si scompose e non commentò l’annunciò, né indico una data per l’eventuale patch, pur sapendo che ormai la falla stava già venendo attivamente sfruttata. Infine, a domanda diretta di Wired, Microsoft fece sapere di non aver alcun commento da fare circa la distribuzione di una correzione. Gli utenti, insomma, devono continuare ad arrangiarsi.
Secondo Tom Hegel, di SentinelOne, il problema non sta soltanto nel fatto che la falla si può sfruttare tramite dei documenti di Word (dunque un tipo di file che molti utenti sono usi scambiarsi) ma anche nel fatto che esistono «metodi meno documentati» che «possono essere sfruttati in una varietà di modi» e che costituiranno un pericolo fino a che da Redmond non uscirà la patch definitiva, poiché sfruttare quei metodi «è fin troppo semplice».
A essere affette sono tutte le versioni di Windows che usano Office 365 oppure tutte le versioni di Office da 2013 a 2021, compreso Office ProPlus.
Secondo Michael Raggi, di Proofpoint, le contromisure indicate da Microsoft non sono sufficienti a proteggere un PC, poiché esistono modi per aggirarle.
«Proofpoint ha identificato tutta una serie di malintenzionati che incorporano la vulnerabilità Follina all’interno di campagne di phishing» aggiunge Sherrod DeGrippo, di Proofpoint.
A preoccupare, oltre alla pericolosità della falla in sé, è l’atteggiamento di Microsoft, che pare non voler riconoscere la serietà del problema.
«I team di sicurezza potrebbero interpretare l’atteggiamento disinvolto di Microsoft come un segno del fatto che la ritengano “solo un’altra falla”, cosa che certamente non è» commenta Jake Williams, di Scythe. «Non è chiaro perché Microsoft continui a sminuire questa vulnerabilità, soprattutto ora che sta venendo attivamente sfruttata in tutto il mondo».