Follina é uma falha que se considerou afetar todas as versões do Microsoft Office, dada pelo CVE-2022-30190, cuja exploração bem sucedida podia levar a execução de código remota.

Exploração da falha

É usado essencialmente um documento word com a funcionalidade de template remoto, que irá buscar um HTML, e depois usa o protocolo ms-msdt para executar código em powershell. Portanto, o primeiro problema é a execução de código por parte do Microsoft Word via msdt, que é uma ferramenta de diagnóstico da Microsoft

O Windows defender poderá detetar tentativas de exploração da falha a partir das seguintes assinaturas

Workaround da Microsoft

Desabilitar o MSDT seguindo os passos:

- Linha de comandos como administrador - executar o backup da chave de registo (reg export HKEY_CLASSES_ROOT\ms-msdt filename) - de seguinda, executar o comando reg delete HKEY_CLASSES_ROOT\ms-msdt /f

- Desfazer este passo - reg import filename

Guia oficial da Microsoft para este problema: https://msrc-blog.microsoft.com/2022/05/30/guidance-for-cve-2022-30190-microsoft-support-diagnostic-tool-vulnerability/