MSDT è un tool presente in Windows 7 e versioni successive ed è utilizzato per la diagnosi di eventuali problematiche in applicazioni come Microsoft Office, quando qualsiasi utente segnala problemi al supporto Microsoft. 

MSDT è un tool di diagnosi che viene solitamente richiamato da applicativi importanti come Microsoft Office. Sfruttare la CVE-2022-30190 consente di eseguire codice arbitrario con i privilegi dell'app chiamante per installare programmi, modificare, cancellare, cambiare dati o creare nuovi account Windows. Follina è già stata sfruttata in attacchi reali usando documenti Office distribuiti via email. Questi consentivano di eseguire payload dannosi come la backdoor Turian, Cobal Strike ecc...

Nel continente asiatico i Seqrite Security Labs hanno individuato un sample di documento Word chiamato "VIP Invitation to Doha Expo 2023.docx" (7c4ee39de1b67937a26c9bc1a7e5128b) che utilizza webdav per scaricare CobalStrike.

Il gruppo cinese APT "TA413" ha sfruttato questa vulnerabilità in attacchi reali per scaricare i payload di una backdoor richiamando MSDT tramite protocollo URL. La figura sotto mostra il file HTML codificato in base64 scaricato dal DOC (SHA: SHA: 000c10fef5a643bd96da7cf3155e6a38) da hxxp://212[.]138.130.8/analysis [.]html

L'immagine sotto mostra i dati decodificati:

Disabilitare il protocollo URL per MSDT:

Per ripristinare la chiave di registro eseguire, da amministratore, il comando “reg import filename”.

Seqrite protegge gli utenti da questa vulnerabilità tramite MSDT con le seguenti identificazioni: