Follina (CVE-2022-30190): уязвимость в MSDT | Блог Касперского

CVE-2022-30190, свежую уязвимость в Windows Support Diagnostic Tool (MSDT), также известную как Follina, эксплуатируют через офисные документы.

Исследователи обнаружили очередную достаточно серьезную уязвимость в продуктах Microsoft, потенциально позволяющую злоумышленникам выполнить произвольный код. Ей присвоен номер CVE-2022-30190, а в среде исследователей ей дали имя Follina. Самое неприятное, что патча пока нет, а тем временем уязвимость уже активно эксплуатируется злоумышленниками. Пока обновление разрабатывается, всем пользователям и администраторам Windows рекомендуют воспользоваться временными обходными решениями.

Что за уязвимость CVE-2022-30190 и какие продукты она затрагивает

Сама по себе уязвимость CVE-2022-30190 содержится в инструменте Microsoft Windows Support Diagnostic Tool (MSDT), но из-за особенностей реализации этого инструмента она может быть поэксплуатирована при помощи вредоносного офисного документа.

MSDT — это приложение, которое используется в случае некорректной работы Windows для автоматизированного сбора диагностической информации и отправки ее в Microsoft. Оно может быть вызвано из другого приложения (как пример обычно приводят Microsoft Word) через специальный протокол MSDT URL. При успешной эксплуатации уязвимости злоумышленник получает возможность запустить произвольный код с привилегиями вызывающего MSDT приложения — то есть в данном случае с правами пользователя, открывшего вредоносный файл.

Уязвимость CVE-2022-30190 можно проэксплуатировать во всех операционных системах семейства Windows, как обычных, так и серверных.

Как злоумышленники эксплуатируют CVE-2022-30190

В качестве демонстрации атаки исследователи описывают следующий алгоритм. Злоумышленники создают вредоносный офисный документ и подсовывают его жертве. Самый банальный способ это сделать — прислать электронное письмо с вложением, приправив его какой-нибудь классической уловкой из арсенала социальной инженерии, убеждающей получателя открыть файл. Что-нибудь из серии «Срочно проверьте контракт, завтра подписание».

В свою очередь, в зараженном файле имеется ссылка на HTML-файл, в котором содержится код JavaScript, запускающий в командной строке вредоносный код через MSDT. В итоге атакующие получают возможность устанавливать программы, просматривать, изменять или уничтожать данные, а также создавать новые аккаунты — то есть делать все, что позволяют привилегии пользователя, открывшего зараженный файыл.

Как остаться в безопасности

Как уже было сказано в начале, патча пока нет. Так что для противодействия Microsoft рекомендует отключить протокол MSDT URL. Для этого необходимо запустить командную строку с правами администратора и выполнить команду reg delete HKEY_CLASSES_ROOT\ms-msdt /f. Прежде чем это сделать, будет разумно сохранить резервную копию реестра reg export HKEY_CLASSES_ROOT\ms-msdt имя_файла. В таком случае можно будет быстро восстановить реестр командой reg import имя_файла, как только нужда в этом временном решении отпадет.

Само собой, это только временная мера, и по-хорошему нужно обязательно установить обновление, закрывающее уязвимость Follina, как только оно станет доступно.

Описанные в сети методы эксплуатации данной уязвимости подразумевают применение писем с вредоносным вложением и методов социальной инженерии. Так что мы рекомендуем с еще большей, чем обычно, осторожностью относиться к входящим письмам от неизвестных отправителей, особенно если они содержат во вложении документы MS Office. Компаниям имеет смысл регулярно повышать осведомленность сотрудников о типичных уловках злоумышленников.

Кроме того, все устройства, имеющие доступ к Интернету, должны быть снабжены надежными защитными решениями. Даже при использовании неизвестной уязвимости они могут предотвратить запуск постороннего вредоносного кода на машине пользователя.

01.06.2022