# CVE-2022-30190 - Microsoft Follina (MSDT RCE via Office) > [!high] > Execução remota de código no Microsoft Support Diagnostic Tool (MSDT) via documento Office malicioso - sem necessidade de macros e contornando Protected View. Explorado como zero-day desde abril de 2022 por múltiplos APTs incluindo **APT28** e grupos iranianos e norte-coreanos. ## Visão Geral **CVE-2022-30190**, amplamente conhecida como **"Follina"**, é uma vulnerabilidade crítica de execução remota de código no [[microsoft-windows|Microsoft Support Diagnostic Tool (MSDT)]]. A falha permite que atacantes executem PowerShell arbitrário quando uma vítima abre ou apenas visualiza (Preview Pane) um documento Office malicioso - **sem necessidade de macros habilitadas** e contornando o Protected View do Office. O vetor de entrega via documentos Word e RTF em campanhas de phishing torna esta vulnerabilidade especialmente perigosa para organizações com ampla implantação do Microsoft Office. A vulnerabilidade foi descoberta como zero-day por pesquisadores de segurança independentes em maio de 2022, após identificação de exploração ativa desde abril de 2022. Múltiplos grupos APT patrocinados por estados nacionais adotaram o Follina rapidamente: [[g0007-apt28]] (Rússia), [[g0047-gamaredon]] (Rússia/Ucrânia), [[g0069-mango-sandstorm]] (Irã) e grupos norte-coreanos. O nome "Follina" refere-se ao código postal italiano `0438` encontrado no PoC original - homenagem ao pesquisador que descobriu a vulnerabilidade. A Microsoft lançou o patch oficial no Patch Tuesday de junho de 2022. A variante RTF da exploração é particularmente preocupante: arquivos `.rtf` disparam o exploit apenas com a visualização no Preview Pane do Windows Explorer, caracterizando um vetor práticamente zero-click para usuários que navegam por diretórios com documentos comprometidos. Esta capacidade, combinada com a ubiquidade do Microsoft Office em ambientes corporativos, tornou o Follina um dos vetores de entrega de malware mais utilizados em 2022 e continuou sendo explorado em anos subsequentes. > [!latam] > O **Follina** teve impacto significativo no Brasil e América Latina dado o alto índice de adoção do **Microsoft Office** em ambientes corporativos e governamentais na região. Campanhas de phishing direcionadas a organizações brasileiras nos setores financeiro e governamental utilizaram documentos Word maliciosos explorando esta vulnerabilidade. O **CERT.br** emitiu alertas específicos sobre o Follina. Organizações que utilizam suítes Office legadas (2013-2019) sem atualização automática permaneceram vulneráveis por meses. A facilidade de criação de documentos maliciosos levou a ampla adoção por grupos de ransomware e cybercrime operando na região. ## Cadeia de Exploração ```mermaid graph TB PHISH["Phishing / Spear-phishing<br/>Documento Word ou RTF malicioso"] -->|"Abertura ou Preview Pane"| OFF["Microsoft Office<br/>Carregamento de recurso externo"] OFF -->|"Requisição HTTP ao servidor C2"| HTML["HTML com URI ms-msdt:<br/>Servidor do atacante"] HTML -->|"Invocação do esquema URI"| MSDT["Microsoft MSDT<br/>ms-msdt:/id PCWDiagnostic"] MSDT -->|"Injeção via IT_BrowseForFile"| PS["PowerShell Arbitrário<br/>Execução com permissões do usuário"] PS -->|"Download e execução do payload"| PAY["Malware<br/>Cobalt Strike / QBot / Agent Tesla"] ``` ## Produtos Afetados | Produto | Versões Afetadas | Versão Corrigida | |---------|-----------------|-----------------| | Microsoft Office 2013 | Todas as builds antes de jun/2022 | Patch cumulativo jun/2022 | | Microsoft Office 2016 | Todas as builds antes de jun/2022 | Patch cumulativo jun/2022 | | Microsoft Office 2019 | Todas as builds antes de jun/2022 | Patch cumulativo jun/2022 | | Microsoft Office 2021 | Todas as builds antes de jun/2022 | Patch cumulativo jun/2022 | | Microsoft 365 Apps | Builds antes de jun/2022 | Atualização automática | | Windows (com Office) | Windows 10, 11, Server 2019, 2022 | KB5014699 / KB5014702 | ## Detalhes Técnicos A exploração ocorre em múltiplos estágios: 1. **Documento malicioso:** O arquivo DOCX contém uma referência externa no `document.xml.rels` apontando para servidor controlado pelo atacante via elemento `<Relationship Type="http://schemas.openxmlformats.org/officeDocument/2006/relationships/oleObject">` 2. **Recuperação do payload:** Ao abrir o documento, o Office busca automaticamente o recurso externo (HTML) 3. **Invocação do ms-msdt:** O HTML recuperado utiliza o esquema URI `ms-msdt:` para invocar o MSDT com parâmetros maliciosos 4. **Execução de PowerShell:** O parâmetro `IT_BrowseForFile` permite injeção de comandos PowerShell arbitrários via `$()` 5. **Evasão:** Contorna DEP/ASLR, macros desabilitadas, Protected View e detecção baixa por AV/EDR (inicialmente) **Variante .RTF (zero-click):** Arquivos RTF disparam o exploit apenas com a visualização no Preview Pane do Windows Explorer, sem abrir o arquivo. **Grupos observados utilizando Follina:** - [[g0007-apt28]] - espionagem contra alvos governamentais e militares europeus - [[g0047-gamaredon]] - targeting de organizações ucranianas (governo, defesa) - [[g0069-mango-sandstorm]] - campanhas contra alvos no Oriente Médio e Turquia - TA570 (afiliado Qbot) - distribuição em massa de QBot via documentos Office **Payloads distribuídos via Follina:** - Cobalt Strike Beacons, QBot/Qakbot, Rozena backdoor, Agent Tesla, Mimikatz **TTPs utilizadas:** - [[t1566-phishing|T1566 - Phishing]] - entrega via e-mail com documento malicioso - [[t1203-exploitation-for-client-execution|T1203 - Exploitation for Client Execution]] - exploração no cliente via Office - [[t1059-command-scripting-interpreter|T1059 - Command and Scripting Interpreter]] - execução de PowerShell via MSDT ## Mitigação **Patch oficial:** - Atualizações cumulativas de junho de 2022 (Patch Tuesday, 14/06/2022) - Aplicar via Windows Update ou WSUS (KB5014699 para Windows 10, KB5014702 para Windows 11) **Mitigação temporária (pré-patch):** Desabilitar o protocolo MSDT URI via registro: ``` reg delete HKEY_CLASSES_ROOT\ms-msdt /f ``` Para reverter após patch: ``` reg add HKEY_CLASSES_ROOT\ms-msdt /ve /d "URL:ms-msdt" /f ``` **Defesas adicionais:** - Configurar regras AppLocker para bloquear execução do `msdt.exe` - Ativar Attack Surface Reduction (ASR) para bloquear processos filhos de aplicações Office - Desabilitar preview de arquivos no Windows Explorer - Implementar bloqueio de macros e execução de conteúdo externo em política de grupo ## Referências - [NVD - CVE-2022-30190](https://nvd.nist.gov/vuln/detail/CVE-2022-30190) - [Microsoft MSRC - Guidance](https://msrc-blog.microsoft.com/2022/05/30/guidance-for-CVE-2022-30190-microsoft-support-diagnostic-tool-vulnerability/) - [Huntress - Follina Rapid Response](https://www.huntress.com/blog/microsoft-office-remote-code-execution-follina-msdt-bug) - [KPMG - Threat Analysis Follina](https://assets.kpmg.com/content/dam/kpmgsites/in/pdf/2022/12/07-december-2022-threat-analysis-of-widely-exploited-CVE-2022-30190-follina-vulnerability.pdf.coredownload.inline.pdf) ## Notas Relacionadas - [[cve-2021-40444|CVE-2021-40444]] - CVE relacionada, exploração via documentos Office (MSHTML) - [[cve-2017-11882|CVE-2017-11882]] - CVE similar, RCE via equação Office - [[g0007-apt28]] - APT russo, explorou Follina em campanhas de espionagem - [[g0047-gamaredon]] - APT russo/ucraniano, uso intensivo em targeting de Ukraine - [[g0069-mango-sandstorm]] - APT iraniano, campanhas no Oriente Médio - [[t1566-phishing|T1566 - Phishing]] - vetor de entrega primário - [[t1203-exploitation-for-client-execution|T1203 - Exploitation for Client Execution]] - técnica central - [[t1059-command-scripting-interpreter|T1059 - Command and Scripting Interpreter]] - execução via PowerShell - [[government]] - setor-alvo prioritário das campanhas APT - [[defense]] - setor-alvo frequente (bases militares, MoD) - [[financial]] - setor afetado por grupos de ransomware usando Follina