Follina: zero-day – zero-click zraniteľnosť Microsoft Office
Bezpečnostní výskumníci objavili vzorky škodlivých súborov Microsoft Office, ktoré zneužívali zero-day zraniteľnosť umožňujúcu vykonávanie ľubovoľného kódu. Zneužitie zraniteľnosti nevyžaduje povolené makrá a v prípade RTF súborov postačí automatické zobrazenie náhľadu vo Windows Explorer. Aktuálne nebola vydaná opravná aktualizácia a pre to odporúčame urgentne nasadiť mitigáciu.
Opis činnosti:
CVE-2022-30190 (CVSS 7,8)
Bezpečnostní výskumníci z tímu Nao_sec odhalili pri analýze vzorky dokumentu Microsoft Word nahranej na službu Virustotal závažnú zraniteľnosť v balíku Microsoft Office. Zraniteľnosť pomenovaná „Follina“ je aktívne zneužívaná minimálne od 12.4.2022.
Zraniteľnosť Follina existuje v spôsobe, akým aplikácia (napríklad Microsoft Word) volá nástroj MSDT (Microsoft Diagnostics Tool) protokolom URI. Využitím protokolu „ms-msdt:“ môže útočník vykonať ľubovoľný PowerShell kód s právami volajúcej aplikácie (aplikácia Microsoft Office). Útočník získa možnosť inštalovať programy, prezerať, mazať a meniť dáta, či vytvárať nové účty. Zneužitie zraniteľnosti nevyžaduje povolené makrá.
Jedna zo zachytených vzoriek zneužíva funkciu vzdialenej šablóny pre stiahnutie HTML súboru z útočníkom ovládaného servera. Ten zneužije schému URI MS-MSDT pre stiahnutie a vykonanie PowerShell kódu.
Spoločnosť Microsoft tvrdí, že pri prehliadaní dokumentu v móde Protected View alebo s aktívnym Application Guard for Office zraniteľnosť nie je zneužiteľná. To však neplatí pri formáte RTF, kde sa môže kód vykonať už pri zobrazení náhľadu vo Windows Exploreri aj bez otvorenia súboru. Spoločnosť Huntress sa vo svojej analýze vyjadrila, že aj keď úspešné stiahnutie škodlivého binárneho súboru je málo pravdepodobné, útočníci vedia z dát nadviazaného spojenia vyextrahovať NTLM hashe pre ďalšiu fázu útoku.
Zraniteľné systémy:
- Microsoft Office 2013
- Microsoft Office 2016
- Microsoft Office 2019
- Microsoft Office 2021
- a ich verzie Professional Plus
Závažnosť zraniteľnosti: Vysoká
Možné škody:
- Vykonávanie ľubovoľného kódu
Odporúčania:
Opravná aktualizácia ku dňu 31.5.2022 nebola vydaná.
Možnosti mitigácie:
- Nastaviť v „Block mode“ pravidlo „Block all Office applications from creating child processes“ v Microsoft Defender Attack Surface Reduction (ASR)
- Odstrániť vo Windows registry asociáciu pre ms-msdt v ceste „HKCR:\ms-msdt“. Táto voľba môže spôsobiť nežiaduce následky, preto najprv zálohujte pôvodný súbor registrov.
Odkazy:
https://thehackernews.com/2022/05/microsoft-releases-workarounds-for.html
https://thehackernews.com/2022/05/watch-out-researchers-spot-new.html
https://doublepulsar.com/follina-a-microsoft-office-code-execution-vulnerability-1a47fce5629e
https://www.huntress.com/blog/microsoft-office-remote-code-execution-follina-msdt-bug
https://media.cert.europa.eu/static/SecurityAdvisories/2022/CERT-EU-SA2022-039.pdf
https://www.hackread.com/microsoft-office-0-day-follina-vulnerability-warning/