„Microsoft“ diagnostikos įrankio MSDT apsaugos spraga CVE-2022-30190 (Follina)

Remiantis NKSC pranešimu, „Microsoft“ palaikymo diagnostikos įrankyje MSDT (Microsoft Support Diagnostic Tool) yra identifikuota apsaugos spraga, dėl kurios, pažeistose sistemose gali būti perduodamas žalingas kodas. Šis pažeidžiamumas, pavadintas „Follina“ buvo pažymėtas kaip CVE-2022-30190 ir šiuo metu yra plačiai išnaudojamas.

MSDT servisas renka duomenis iš „Windows“ ir „Windows Server“ sistemų ir siunčia juos „Microsoft“ palaikymo tarnybai. Pažeistoje sistemoje užpuolikas gali įdiegti programas, skaityti, keisti bei pašalinti duomenis arba sukurti naujas paskyras su visomis vartotojo teisėmis.

Nors dauguma iki šiol pastebėti pažeidimų atvejai buvo sukurti naudojant kenkėjiškus „Microsoft Word“ „.doc“ failus, tam gali būti panaudojami ir bet kurie „Office“ produktai, tvarkantys oleObject ryšius.

Norinčios apsiginti organizacijos gali taikyti „Microsoft“ išleistą laikiną sprendimą, kuris išjungia MSDT URL protokolą ir taip neleidžia išnaudoti apsaugos spragos:

• Administratoriaus teisėmis atsidarykite komandinę eilutę (Command Prompt);
• Sukurkite esamo registro kopiją, naudodami komandą „reg export HKEY_CLASSES_ROOT\ms-msdt msdtbackup.reg“;
• Išjunkite MSDT URL protokolą, įvykdydami komandą „reg delete HKEY_CLASSES_ROOT\ms-msdt /f“;
• „msdtbackup.reg“ yra pavyzdinis failo pavadinimas su .reg plėtiniu.

Kuomet „Microsoft“ išleis saugumo pataisas, atstatyti pakeitimus galima bus šiuo būdu:

• Administratoriaus teisėmis atsidarykite komandinę eilutę (Command Prompt);
• Atstatykite registrą iš kopijos, įvykdydami komandą „reg import msdtbackup.reg“.

Plačiau apie pažeidimą:

„Follina“ leidžia įvykdyti „Remote Code Execution“ (RCE) aplinkose, pasinaudojant pažeidžiamu „Microsoft“ palaikymo diagnostikos įrankiu (MSDT), kuris yra būdingas visoms palaikomoms „Windows“ operacinėms sistemoms ir serveriams. Sėkmingiausiai tam yra naudojami „Microsoft Office“ dokumentai, įkeliantys HTML failus iš nuotolinės vietos, kurie vykdo kenkėjiškas PowerShell komandas.

Apsaugos specialistų „Fortinet“ tirti kenkėjiški dokumentai gali piktnaudžiauti „Microsoft Word“ nuotolinio šablono funkcija ir ištraukti HTML failą, kuriame yra įterptas „JavaScript“ kodas. Jis naudoja ms-msdt schemą, kad vykdytų „PowerShell“ komandą – „Invoke-Expression”. Komanda nutraukia „Microsoft“ palaikymo diagnostikos įrankio (msdt.exe) procesą ir galiausiai paleidusi failus, esančius .RAR faile, paleidžia kenkėjišką vykdomąjį failą rgb.exe. Tyrėjai pastebėjo, kad šiuos failus galima įjungti, net tuo atveju kai yra išjungtos „Microsoft Word“ makrokomandos. Tai reiškia jog potencialiai juos galima pasiekti ir įjungti naudojant .RTF failą, taip apeinant „protected view“ funkcionalumą.