Ranjivost označena kao CVE-2022-30190 koja je dobila kodni naziv Follina, zvanično je registrovana 30. maja ove godine kao ranjivost nultnog dana, koja podržava daljinsko izvršavanje komandi u Microsoft alatu za diagnostiku MSDT - Microsoft Windows Support Diagnostic Tool. Ovo je još uvije aktivna ranjivost, bez dostupnog ažuriranja koja je označena ocjenom 7.8 ili veoma ozbiljna u bazi NVD - National Vulnerability Database. Postoje saznanja da je korisnik Windows operativnog pokušavao 22 mjeseca da prijavi ovu ranjivost, ali je bio zanemaren.
Image by Darwin
Laganzon from Pixabay; Edit by Sasa Djuric |
Ovo je potpuno nova ranjivost koja do sada nije bila korištena i za nju ne postoji dostupno ažuriranje sa danom ove objave. Ranjivost Follina iskorštava funkcionalnost Microsoft Office Word aplikacije i njenih šablona na udaljenom serveru, omogućavajući preuzimanje HTML dokumenta sa udaljenog servera, prilikom čega se može izvršiti PowerShell ili neka druga skripta. Ranjivost ima veliki uticaj na “obične” korisnike koji su korisnici Windows operativnog sistema i koji urade pregled, otvaranje ili preuzimanje posebno pripremljenog Word dokumenta. Korisnici su do sada izbjegavali infekciju preko Word dokumenata otvaranjem u Protected Mode režimu, ali on nema uticaja na ovu ranjivost, tako da napadači koriste MSDT da dobiju daljniski pristup i izvršavaju pokretanje proizvoljnog kôda na napadnutim uređajima. Sve verzije operativnog sistema Windows imaju MSDT i pogođene su ovom ranjivošću, uključujući i Windows 11.
Napad na korisnika obično započinje preko elektronske pošte korištenjem phishing-a. Korisnik dobija elektronsku poštu sa prilogom Word dokumenta. On može da izvrši pregled, otvaranje ili preuzimanje Word dokumenta u prilogu. Dolazi do pokretanja MSDT prozora za rješavanje problema, koji upozorava na kompatibilnost, ali tada je već kasno. Dok je MSDT alat pokrenut, Word dokument koristi upravljač protokola da kontaktira vanjsku referencu sa HTML zlonamjernim sadržajem. Nakon toga dolazi do pokretanja kôda na uređaju koji omogućava napadaču direktni pristup i proširuje njegove mogućnosti pokretanja novih skripti na uređaju korisnika.
Sigurnosna kompanija Proofpoint je otkrila napad povezan sa kriminalnom grupom označenom kao TA570 koja koristi ovu ranjivost da isporuči Qbot zlonamjerni softver specijalizovan za krađu korisničkih informacija. Sigurnosni tim Symantec je otkrio da napadači iskorištavaju ovu ranjivost da isporuče AsyncRAT, zlonmajerni softver koji im omogućava daljinsku kontrolu nad korisničkim uređajem.
Dok ne bude dostupno sistemsko ažuriranje koje će ispraviti ovu ranjivost, korisnicima se preporučuj da onemoguće MSDT URL protokol, što će onemogućiti da pokrenuti MSDT alat kontaktira vanjsku referencu sa HTML zlonamjernim sadržajem. Kompanija Microsoft je objavila uputstvo na koji se način ovo može uraditi:
1. Pokrenuti Command Prompt kao Administrator.
2. Napraviti rezervnu kopiju registr ključa pokretanjem komande:
“reg export HKEY_CLASSES_ROOT\ms-msdt filename“
3. Nakon toga obrisati ključ u registrima pokretanjem komande:
“reg delete HKEY_CLASSES_ROOT\ms-msdt /f”
U slučaju potrebe, obrisani ključ je moguće vratiti koristeći napravljenu rezervnu kopiju na sljedeći način:
1. Pokrenuti Command Prompt kao Administrator.
2. Pokrenuti komandu:
“reg import filename”