Identificada per MITRE com CVE-2022-30190, Follina es deu a un problema en MSDT (Microsoft Windows Support Diagnostic Tool), una aplicació que forma part del sistema operatiu i que recopila informació de diagnòstic per a remetre-la a Microsoft quan es produeix una fallada en el sistema operatiu. Així, compromet a totes les aplicacions d’Office, si bé és cert que la seva explotació resulta més senzilla des de Microsoft Word.

Potser per les seves sigles no et resulta massa familiar, però segur que això canvia substancialment al saber que, després de MSDT, es troba l’assistent de resolució de problemes de Windows, una funció d’ús molt comú, i que pot ser invocada per l’usuari en determinades circumstàncies (fins i tot a través de la línia de comando), però que també s’activa de manera automàtica davant fallada de Windows i de determinades aplicacions, com les que componen Microsoft Office.

La presència de MSDT és tremendament comuna, per la qual cosa les llistes versions de Windows com de Microsoft Office afectades per Follina és excepcionalment extensa. Si parlem del paquet ofimàtic, són les següents:

• Microsoft Office 2013
• Microsoft Office 2016
• Microsoft Office 2019
• Microsoft Office 2021
• Les versions d’Office distribuïdes amb Office 365

I en el referit a les versions de Windows, la llista és encara més extensa:

• Windows 7
• Windows 8
• Windows 10
• Windows 11
• Windows Server 2008
• Windows Server 2012
• Windows Server 2016
• Windows Server 2019
• Windows Server 2022

És important tenir en compte, no obstant això, que tots els casos d’explotació in the wild de Follina detectats fins al moment, s’han donat en sistemes en els quals es trobava una combinació de tots dos, és a dir, una versió de Microsoft Office corrent sobre una instal·lació de Windows. Així, en principi, els servidors basats en Windows Server en els quals no estigui instal·lada el paquet ofimàtic, que és el més comú, no haurien de veure’s afectats… encara que això tampoc és segur, per la qual cosa el millor és no confiar-se i protegir-se.