Follina: вход через офисные документы

Новая уязвимость CVE-2022-30190, также известная как Follina, позволяет проэксплуатировать Windows Support Diagnostic Tool через файлы MS Office.

Follina: вход через офисные документы
Обновлено 15.06.2022: В рамках июньского «Вторника Обновлений» Microsoft выпустила заплатку для уязвимости Follina. Пользователям рекомендуется убедиться в том, что нужное обновление установлено.

Исследователи обнаружили очередную достаточно серьезную уязвимость в продуктах Microsoft, потенциально позволяющую злоумышленникам выполнить произвольный код. Ей присвоен номер CVE-2022-30190, а в среде исследователей ей дали имя Follina. Самое неприятное, что патча пока нет, а тем временем уязвимость уже активно эксплуатируется злоумышленниками. Пока обновление разрабатывается, всем пользователям и администраторам Windows рекомендуют воспользоваться временными обходными решениями.

Что за уязвимость CVE-2022-30190 и какие продукты она затрагивает

Сама по себе уязвимость CVE-2022-30190 содержится в инструменте Microsoft Windows Support Diagnostic Tool (MSDT), но из-за особенностей реализации этого инструмента она может быть поэксплуатирована при помощи вредоносного офисного документа.

MSDT — это приложение, которое используется в случае некорректной работы Windows для автоматизированного сбора диагностической информации и отправки ее в Microsoft. Оно может быть вызвано из другого приложения (как пример обычно приводят Microsoft Word) через специальный протокол MSDT URL. При успешной эксплуатации уязвимости злоумышленник получает возможность запустить произвольный код с привилегиями вызывающего MSDT приложения — то есть в данном случае с правами пользователя, открывшего вредоносный файл.

Уязвимость CVE-2022-30190 можно проэксплуатировать во всех операционных системах семейства Windows, как обычных, так и серверных.

Как злоумышленники эксплуатируют CVE-2022-30190

В качестве демонстрации атаки исследователи описывают следующий алгоритм. Злоумышленники создают вредоносный офисный документ и подсовывают его жертве. Самый банальный способ это сделать — прислать электронное письмо с вложением, приправив его какой-нибудь классической уловкой из арсенала социальной инженерии, убеждающей получателя открыть файл. Что-нибудь из серии «Срочно проверьте контракт, завтра подписание».

В свою очередь, в зараженном файле имеется ссылка на HTML-файл, в котором содержится код JavaScript, запускающий в командной строке вредоносный код через MSDT. В итоге атакующие получают возможность устанавливать программы, просматривать, изменять или уничтожать данные, а также создавать новые аккаунты — то есть делать все, что позволяют привилегии пользователя, открывшего зараженный файл.

Как остаться в безопасности

Как уже было сказано в начале, патча пока нет. Так что для противодействия Microsoft рекомендует отключить протокол MSDT URL. Для этого необходимо запустить командную строку с правами администратора и выполнить команду reg delete HKEY_CLASSES_ROOT\ms-msdt /f. Прежде чем это сделать, будет разумно сохранить резервную копию реестра reg export HKEY_CLASSES_ROOT\ms-msdt имя_файла. В таком случае можно будет быстро восстановить реестр командой reg import имя_файла, как только нужда в этом временном решении отпадет.

Само собой, это только временная мера, и по-хорошему нужно обязательно установить обновление, закрывающее уязвимость Follina, как только оно станет доступно.

Продукты «Лаборатории Касперского» выявляют попытки эксплуатации уязвимости CVE-2022-30190. Подробную техническую информацию можно найти в блоге Securelst.

Описанные в сети методы эксплуатации данной уязвимости подразумевают применение писем с вредоносным вложением и методов социальной инженерии. Так что мы рекомендуем с еще большей, чем обычно, осторожностью относиться к входящим письмам от неизвестных отправителей, особенно если они содержат во вложении документы MS Office. Компаниям имеет смысл регулярно повышать осведомленность сотрудников о типичных уловках злоумышленников.

Кроме того, все устройства, имеющие доступ к Интернету, должны быть снабжены надежными защитными решениями. Даже при использовании неизвестной уязвимости они могут предотвратить запуск постороннего вредоносного кода на машине пользователя.

Советы

Три «бытовые» атаки на Linux

Даже если вы об этом не знаете, у вас дома наверняка есть устройства с ОС Linux — и им тоже нужна защита! Вот три Linux-угрозы, о которых часто забывают даже профессионалы в IT.