В конце мая исследователи из команды nao_sec сообщили о новой уязвимости нулевого дня в Microsoft Support Diagnostic Tool (MSDT), которую можно проэксплуатировать при помощи документов Microsoft Office. Уязвимость позволяет удаленно выполнять код в системах Windows, причем в отдельных случаях атака могла быть успешной даже если жертва не открывала документ, а лишь использовала функцию предварительного просмотра в Проводнике, или же открывала его в защищенном режиме. Уязвимость, которую исследователи назвали Follina, впоследствии получила идентификатор CVE-2022-30190.
Технические детали CVE-2022-30190
Коротко процесс эксплуатации уязвимости CVE-2022-30190 можно описать следующим образом. Атакующий создает документ MS Office, содержащий ссылку на внешний вредоносный OLE-объект (word/_rels/document.xml.rels), например на располагающийся на удаленном сервере HTML-файл. Данные, которые используются для описания ссылки, располагаются в тэге с атрибутами Type=»http://schemas.openxmlformats.org/officeDocument/2006/relationships/oleObject», Target=»http_malicious_link!». Ссылка в атрибуте Target указывает на вышеупомянутый HTML-файл, внутри которого прописывается — с помощью специальной URI-схемы — вредоносный скрипт.
Подготовленный злоумышленником документ при открытии запускает инструмент для устранения неполадок в ОС Windows (MSDT). После этого преступник может через параметры передать этому инструменту любую команду для выполнения в системе жертвы — в зависимости от привилегий пользователя, открывшего документ. Причем команда может быть передана даже в том случае, если документ открыт в режиме защищенного просмотра (Protected Mode) и макросы отключены.
На момент написания этого поста известны два формата документов, позволяющих проэксплуатировать CVE-2022-30190, — это Microsoft Word (.docx) и Rich Text Format (.rtf). Последний более опасен для потенциальной жертвы, поскольку позволяет выполнить вредоносную команду даже без открытия документа, достаточно предварительного просмотра в Проводнике Windows.
Защита от эксплуатации Follina
«Лаборатория Касперского» осведомлена о попытках эксплуатации уязвимости CVE-2022-30190 при помощи документов Microsoft Office. Наши решения защищают пользователей от подобных атак с помощью инструментов анализа поведения (Behavior Detection) и защиты от эксплойтов (Exploit Prevention).
Возможны следующие имена вердиктов:
- PDM:Exploit.Win32.Generic
- HEUR:Exploit.MSOffice.Agent.n
- HEUR:Exploit.MSOffice.Agent.gen
- HEUR:Exploit.MSOffice.CVE-2017-0199.a
- HEUR:Exploit.MSOffice.CVE-2021-40444.a
- HEUR:Exploit.MSOffice.Generic
Мы ожидаем, что число попыток эксплуатации Follina с целью получить доступ к корпоративным ресурсам — в том числе для заражения программами-вымогателями и организации утечек данных — возрастет. Потому мы продолжаем следить за развитием ситуации и улучшать типовое обнаружение уязвимости. Кроме того, в рамках службы Managed Detection and Response наши специалисты SOC могут детектировать случаи эксплуатации этой уязвимости, расследовать такие атаки и предоставлять клиентам всю необходимую информацию об угрозе.
Для защиты от эксплуатации Follina мы настоятельно советуем следовать рекомендациям от Microsoft: Guidance for CVE-2022-30190 Microsoft Support Diagnostic Tool Vulnerability. В частности, чтобы предотвратить использование данной уязвимости, можно отключить поддержку URL протокола MSDT, выполнив следующие шаги.
- Запустить командную строку с правами администратора.
- Для резервного копирования изменяемых ключей реестра выполнить команду reg export HKEY_CLASSES_ROOT\ms-msdt filename.
- Запустить команду отключения поддержки URL MSDT: reg delete HKEY_CLASSES_ROOT\ms-msdt /f.
Уязвимость CVE-2022-30190 (Follina) в MSDT: описание и противодействие
Эдуард
Доброго времени суток. Если ключ реестра «ms-msdt» отсутствует, означает ли это, что и уязвимость не будет работать? просмотрел три сервера и свой рабочий ПК: на одном только сервере нашел данный ключ.
Securelist
Эдуард, здравствуйте!
Да, если удалить, то операционная система не сможет запускать инструмент для поиска неисправностей через msdt: схему. Соответственно, нельзя будет использовать уязвимость для атаки.