Pojawiły się informacje o krytycznym (ocena CVSS 7,8/10) błędzie bezpieczeństwa, oznaczonym kodem CVE-2022-30190 i nieoficjalną nazwą „Follina”. Błąd związany jest z niepoprawnie zaimplementowaną obsługą pewnych mechanizmów diagnostycznych (MSDT – Microsoft Support Diagnostic Tool”. Istnieje możliwość spreparowania dokumentu pakietu Office, która – korzystając z mechanizmu MSDT – pobierze kod ze zdalnego, kontrolowanego przez napastnika, serwera. W kodzie tym (nieco upraszczając) może znajdować się skrypt, który zostanie uruchomiony na komputerze użytkownika z jego bieżącymi uprawnieniami. Skrypt taki może przykładowo zaszyfrować lub zniszczyć dane na dysku lub próbować wysłać je agresorowi.
Podatność jest wykorzystywana „w dziczy” (in the wild), eksperci przewidują, że przypadki takie będą coraz częstsze. Nie ma obecnie łaty producenta (według dostępnych informacji, błąd leży po stronie komponentów systemu operacyjnego Windows, a scenariusze jego wykorzystania opierają się na skłonieniu użytkownika do pobrania lub otwarcia dokumentu MS Office).
Niestety, podatność jest na tyle specyficzna, że:
– działa bez potrzeby włączenia makr w MS Office (wykorzystuje inne mechanizmy)
– w niektórych przypadkach (pliki w formacie .rtf) omija tryb chroniony MS Word
Atak zostanie uruchomiony po otwarciu spreparowanego dokumentu w programie MS Word, a w przypadku plików .rtf wystarczy jedynie zaznaczyć złośliwy, zapisany plik w oknie Eksploratora Windows.
Do czasu udostępnienia łat bezpieczeństwa, zalecamy/przypominamy:
1. Nie należy otwierać podejrzanych załączników, niespodziewanie otrzymanych, w szczególności od nieznanych nadawców. W przypadku opisywanego ataku szczególnie podejrzane są dokumenty Microsoft Word (docx, doc, a w największym stopniu rtf)
2. Do codziennej pracy należy używać konta o obniżonych (nie administracyjnych) uprawnieniach. Wtedy, nawet gdy staniemy się ofiarą ataku, uruchomiony kod przygotowany przez napastnika będzie mieć mniejsze możliwości.
3. Po udostępnieniu przez producenta odpowiedniego uaktualnienia bezpieczeństwa, o czym postaramy się dodatkowo poinformować, należy je niezwłocznie zainstalować.
===================
PORADA DLA ADMINISTRATORÓW I UŻYTKOWNIKÓW ZORIENTOWANYCH TECHNICZNIE
Za sugestią producenta, należy rozważyć wyłączenie protokołu MSDT URL poprzez zmianę zawartości Rejestru systemowego. UWAGA! Przestrzegamy, że nieuważna manipulacja Rejestrem może doprowadzić do uszkodzenia systemu i modyfikację taką do samodzielnej realizacji rekomendujemy tylko Użytkownikom zorientowanym technicznie. Instrukcje (za stroną https://msrc-blog.microsoft.com/2022/05/30/guidance-for-cve-2022-30190-microsoft-support-diagnostic-tool-vulnerability/):
– wyłączenie protokołu:
Krok 1. Uruchomić Wiersz Polecenia jako Administrator
Krok 2. Wykonać kopię zapasową odpowiedniego klucza Rejestru poleceniem: reg export HKEY_CLASSES_ROOT\ms-msdt filename
(filename oznacza dowolną nazwę pliku z kopią klucza; plik należy zachować)
Krok 3. Dezaktywacja protokołu (usunięcie klucza Rejestru) poleceniem: reg delete HKEY_CLASSES_ROOT\ms-msdt /f
– późniejsze cofnięcie zmiany (po udostępnieniu i instalacji łaty producenta)
Krok 1. Uruchomić Wiersz Polecenia jako Administrator
Krok 2. Przywrócić usunięty wpis rejestru poleceniem: reg import filename
(filename jest nazwą/ścieżką do pliku z kopią zapasową, zachowanego przy wyłączaniu protokołu)
====================
Więcej informacji dla zainteresowanych:
– informacja producenta w jęz. angielskim: https://msrc-blog.microsoft.com/2022/05/30/guidance-for-cve-2022-30190-microsoft-support-diagnostic-tool-vulnerability/
– niezależna, szczegółowa analiza techniczna w języku angielskim: https://www.huntress.com/blog/microsoft-office-remote-code-execution-follina-msdt-bug