Инциденты

Уязвимость CVE-2022-30190 (Follina) в MSDT: описание и противодействие

В конце мая исследователи из команды nao_sec сообщили о новой уязвимости нулевого дня в Microsoft Support Diagnostic Tool (MSDT), которую можно проэксплуатировать при помощи документов Microsoft Office. Уязвимость позволяет удаленно выполнять код в системах Windows, причем в отдельных случаях атака могла быть успешной даже если жертва не открывала документ, а лишь использовала функцию предварительного просмотра в Проводнике, или же открывала его в защищенном режиме. Уязвимость, которую исследователи назвали Follina, впоследствии получила идентификатор CVE-2022-30190.

Технические детали CVE-2022-30190

Коротко процесс эксплуатации уязвимости CVE-2022-30190 можно описать следующим образом. Атакующий создает документ MS Office, содержащий ссылку на внешний вредоносный OLE-объект (word/_rels/document.xml.rels), например на располагающийся на удаленном сервере HTML-файл. Данные, которые используются для описания ссылки, располагаются в тэге с атрибутами Type=»http://schemas.openxmlformats.org/officeDocument/2006/relationships/oleObject», Target=»http_malicious_link!». Ссылка в атрибуте Target указывает на вышеупомянутый HTML-файл, внутри которого прописывается — с помощью специальной URI-схемы — вредоносный скрипт.
Подготовленный злоумышленником документ при открытии запускает инструмент для устранения неполадок в ОС Windows (MSDT). После этого преступник может через параметры передать этому инструменту любую команду для выполнения в системе жертвы — в зависимости от привилегий пользователя, открывшего документ. Причем команда может быть передана даже в том случае, если документ открыт в режиме защищенного просмотра (Protected Mode) и макросы отключены.
На момент написания этого поста известны два формата документов, позволяющих проэксплуатировать CVE-2022-30190, — это Microsoft Word (.docx) и Rich Text Format (.rtf). Последний более опасен для потенциальной жертвы, поскольку позволяет выполнить вредоносную команду даже без открытия документа, достаточно предварительного просмотра в Проводнике Windows.

Защита от эксплуатации Follina

«Лаборатория Касперского» осведомлена о попытках эксплуатации уязвимости CVE-2022-30190 при помощи документов Microsoft Office. Наши решения защищают пользователей от подобных атак с помощью инструментов анализа поведения (Behavior Detection) и защиты от эксплойтов (Exploit Prevention).
Возможны следующие имена вердиктов:

  • PDM:Exploit.Win32.Generic
  • HEUR:Exploit.MSOffice.Agent.n
  • HEUR:Exploit.MSOffice.Agent.gen
  • HEUR:Exploit.MSOffice.CVE-2017-0199.a
  • HEUR:Exploit.MSOffice.CVE-2021-40444.a
  • HEUR:Exploit.MSOffice.Generic

География попыток эксплуатации Follina с детектом Exploit.MSOffice.CVE-2021-40444.a, 1 мая – 3 июня 2022 года (download)

Мы ожидаем, что число попыток эксплуатации Follina с целью получить доступ к корпоративным ресурсам — в том числе для заражения программами-вымогателями и организации утечек данных — возрастет. Потому мы продолжаем следить за развитием ситуации и улучшать типовое обнаружение уязвимости. Кроме того, в рамках службы Managed Detection and Response наши специалисты SOC могут детектировать случаи эксплуатации этой уязвимости, расследовать такие атаки и предоставлять клиентам всю необходимую информацию об угрозе.
Для защиты от эксплуатации Follina мы настоятельно советуем следовать рекомендациям от Microsoft: Guidance for CVE-2022-30190 Microsoft Support Diagnostic Tool Vulnerability. В частности, чтобы предотвратить использование данной уязвимости, можно отключить поддержку URL протокола MSDT, выполнив следующие шаги.

  1. Запустить командную строку с правами администратора.
  2. Для резервного копирования изменяемых ключей реестра выполнить команду reg export HKEY_CLASSES_ROOT\ms-msdt filename.
  3. Запустить команду отключения поддержки URL MSDT: reg delete HKEY_CLASSES_ROOT\ms-msdt /f.

Уязвимость CVE-2022-30190 (Follina) в MSDT: описание и противодействие

Ваш e-mail не будет опубликован.

 

  1. Эдуард

    Доброго времени суток. Если ключ реестра «ms-msdt» отсутствует, означает ли это, что и уязвимость не будет работать? просмотрел три сервера и свой рабочий ПК: на одном только сервере нашел данный ключ.

    1. Securelist

      Эдуард, здравствуйте!

      Да, если удалить, то операционная система не сможет запускать инструмент для поиска неисправностей через msdt: схему. Соответственно, нельзя будет использовать уязвимость для атаки.

Отчеты

ToddyCat: неизвестная APT-группа, нацеленная на организации Европы и Азии

ToddyCat является относительно новой APT-группой, ответственной за серии атак на высокостатусные организации Европы и Азии. Два ключевых отличительных признака этой группы — ранее неизвестные инструменты, которые мы назвали «бэкдор Samurai» и «троянец Ninja».

Lazarus распространяет протрояненный DeFi-кошелек

Недавно мы обнаружили протрояненное DeFi-приложение, которое имплантирует в систему полнофункциональный бэкдор. Проанализировав этот бэкдора, мы обнаружили многочисленные совпадения с другими инструментами группы Lazarus.

MoonBounce: скрытая угроза в UEFI

В конце 2021 года мы обнаружили прошивку UEFI, в которую был внедрен вредоносный код, названный нами MoonBounce. В данном отчете мы подробно опишем принцип действия импланта MoonBounce и его связь с APT41.

Подпишитесь на еженедельную рассылку

Самая актуальная аналитика – в вашем почтовом ящике