五月底,獨立網路安全研究團隊 @nao_sec 透過社群媒體表示,發現一份從白俄羅斯提交至分析服務網站 VirusTotal 的惡意微軟 Word 文件,利用遠端範本功能並透過 “ms-msdt” MSProtocol URI 模式執行惡意 PowerShell 代碼。 經更多與此相關的事態發酵,該漏洞最終被確定為 Windows 未修補新漏洞。 該漏洞若被成功利用,將導致未經身份驗證的遠端攻擊者控制受影響的系統。 隨後不久,該漏洞公開的概念驗證(PoC)代碼接踵而至。
該漏洞被稱為 “Follina”,CVE 編號:CVE-2022-30190。
該漏洞的名稱 “Follina” 歸功於安全研究員 Kevin Beaumont。 因為他在分析該零時差漏洞時發現其中包含引用 “0438” 的代碼,而這恰是義大利 Follina 的區號,便以此為該漏洞命名。 通常,令人震撼的稱號意味著其殺傷力不容小覷 —— 例如令人聞風喪膽的 Heartbleed,Shellshock和EternalBlue 等高風險漏洞。 但幸好,Follina 尚不在此列。
於此同時,FortiGuard Labs (FortiGuard 全球威脅研究與響應實驗室)密切關注 CVE-2022-30190 概念驗證(PoC)代碼的發佈。 以求在提高使用者對此關鍵漏洞的認識,並敦促管理人員和企業組織快速採取糾正措施,直到微軟發佈官方補丁。
- 受影響平臺:微軟 Windows
- 受影響對象:微軟 Windows 使用者
- 漏洞影響:完全控制受影響的設備
- 漏洞等級:嚴重
▌影響評估
第一個你可能想問的問題是這個漏洞影響有多嚴重。CVE-2022-30190 漏洞的 CVSS 評分為 7.8(嚴重),會獲得如此高分涵蓋許多原因。
該漏洞存在於微軟支援診斷工具(MSDT)中,而 MSDT 是微軟提供的一種官方工具,用於收集系統資訊並將其發送回微軟支援部門以進行問題診斷,例如設備驅動程式、硬體等問題。 MSDT 目前應用於所有版本的 Windows,包括 Windows Server OS。 截至 2022 年 6 月 6日,微軟尚未提供官方修復程式。 因此,未受端點防護軟體或緩解策略保護的設備將很容易受到 Follina 的攻擊。
由於概念驗證代碼已被公開,因此安全研究人員、網路管理人員和資安威脅行為者都能自由使用該代碼。 因此,利用 CVE-2022-30190 漏洞的惡意攻擊預計將在未來幾天及幾周內激增。
保護檢視功能 (Protected View) 是微軟 Office 中的一項功能,可在禁用巨集和其他內容的情況下以唯讀模式打開 Office 文件,以防止該攻擊。 然而,據研究人員的報告顯示,如果該漏洞將文件轉換為 RTF 格式,那麼只要在 Windows 檔案總管中預覽該檔案即可觸發該漏洞,並繞過保護檢視功能。 在撰寫本文時,微軟的最新安全公告尚未證實這一點,也未證實這是否為另一個可利用的漏洞。
另一方面,儘管漏洞名稱包含「remote(遠端)」一詞,但攻擊卻發生在本地端,並且需依賴與使用者互動才能觸發攻擊行為。 微軟安全公告也證實了這一點:漏洞名稱中的「remote(遠端)」一詞指的是攻擊者的位置。 這種類型的漏洞有時也被稱為任意代碼執行(ACE),攻擊本身於本地端進行。
此外,該漏洞已被在野利用。 如本文末時間軸所示(見時間軸),據報導,2022 年 3 月間已發生了一系列針對菲律賓、尼泊爾和印度的初始攻擊活動。 俄羅斯和白俄羅斯也向 VirusTotal 上傳了其他檔案。 這些攻擊很可能是針對性攻擊,因為所涉及的網域名稱在我們的監控系統中似乎未發現威脅活動。
由於該漏洞的嚴重性,美國網路安全和基礎設施安全局 (CISA) 於 5 月 31 日發佈公告,敦促用戶和管理人員盡快採取必要的應變措施。
▌漏洞利用
引發漏洞的「msdt.exe」是微軟的官方支援診斷工具。 該工具通常用於診斷作業系統故障,然後向微軟支援部門報告並提供系統詳細資訊。
該漏洞允許惡意攻擊者使用呼叫該應用程式所屬使用者同樣的權限,進而有效執行任意代碼。 正如 @nao_sec 初始報告以及各大安全社群進行的驗證實驗那樣,呼叫的應用程式通常是微軟 Office(Word,Excel,Outlook等)中的工具。
如圖 2 所示,@nao_sec 發現的惡意 word 檔中使用了一個嵌入的 OLE 物件。 該物件被修改為連結外部網站來下載 HTML 檔案,然後由該文件呼叫 msdt.exe,執行數個 PowerShell 命令。
VirusTotal 還上傳了許多相關漏洞測試樣本,這些樣本在不造成實際損害的情況下呼叫 Calc 和其他良性 Windows 工具進行了漏洞測試。
▌攻擊媒介
在撰寫本文時,所有已知攻擊中,多數均通過電子郵件發送微軟 Word 文件發動攻擊。 理論上,任何允許嵌入 OLE 物件的應用程式都可能成為執行該攻擊的方法。
▌在野攻擊
作為利用 CVE-2022-30190 漏洞發起的實際攻擊之一,安全研究小組 MalwareHunterTeam 在推特發文中發佈了一個 6 月 1 日從沙烏地阿拉伯上傳至 VirusTotal 的微軟 Word 檔(SHA2:248296cf75065c7db51a793816d388ad589127c40fddef276e622a160727ca29):
該“doc”檔從 212[.138[.] 130[.] 8/analysis.html 外部連結取得 HTML 檔,然後非法使用了 MSDT 從遠端位置獲取下一階段攻擊程式 “svchost.exe” 並執行之。
▌負載內容分析
沙烏地阿拉伯上傳的惡意 DOCX 文件最終導致了可執行檔的下載和執行。 該可執行檔(SHA256:4DDA59B51D51F18C9071EB07A730AC4548E36E0D14DBF00E886FC155E705EEEF)是 Turian 後門的變種,約一年前由 ESET(https://www.welivesecurity.com/2021/06/10/ backdoordiplomacy-upgrading-quarian-turian/)進行了分析。 當前變種使用了與先前 ESET 所分析 Turian 樣本相同的單一位元組 XOR 密鑰(0xA9)。
該樣本還具有嘗試並確定受感染電腦在網域中所扮演角色的功能。
與舊的 Turian 樣本類似,該變種採用相同的表頭連接至 C2 伺服器。
此樣本創建 “tmp.bat”,用於在註冊表中設置 RUN 鍵值以實現長期運行的目的。
該檔中大寫和小寫字母的混合用法與舊版 Turian 樣本相同。
該最新變種使用 www[.] osendata[.] com 作為其 C2 伺服器。
另一個與該新變種類似 Turian 樣本的 SHA256 雜湊值為:34DC42F3F486EC282C5E3A16D81A377C2F642D87994AE103742DF5ED5804D0F7,C2 伺服器為www[.] tripinindian[.] com.
▌漏洞緩解
微軟於 2022 年 5 月 30 日在官方部落格發佈了以下緩解措施。
繼微軟報告了在野攻擊積極利用此漏洞的情況后,CISA 也強烈敦促管理人員和使用者在其 Windows 設備上禁用 MSDT 協定。
▌禁用 MSDT URL 協定:
禁用 MSDT URL 協定可防止故障排除程式被連結啟動,包括透過作業系統中的連結。故障排除程式仍可通過「Get Help(取得幫助)」程式或在「System Setting(系統設置)」中作為其他或附加故障排除程式進行存取。
請按照以下步驟禁用 MSDT URL 協定:
- 以管理人員身份於命令提示符執行命令。
- 備份註冊表鍵值,執行命令 “reg export HKEY_CLASSES_ROOT\ms-msdt filename”
- 執行命令 ”reg delete HKEY_CLASSES_ROOT\ms-msdt /f“。
如何撤銷該臨時性措施:
- 以管理人員身份於命令提示符執行命令。
- 恢復註冊表鍵值,執行命令 “reg import filename”
▌時間軸
年 | 月/日 | 事件 |
2021 | 3月10日 | Positive Security 研究人員首次向微軟發送該漏洞報告。 |
3月11日 | 該報告被駁回,因微軟稱該攻擊依賴於社交工程。 | |
8月 | 經 Positive Security 再次測試,確認他們的 RCE 概念驗證已無效,因此,微軟在八月份發佈了一項微軟 Teams 補丁,請注意,此時微軟既沒有為該漏洞分配 CVE 編號, 也未公開披露該漏洞。 | |
12月7日 | Positive Security 發佈該漏洞相關部落格。 | |
2022 | 4月12日 | APT 狩獵組織 Shadow Chaser Group 向微軟報告該漏洞。 該報告稱一份 Word 文件已被用於發起針對俄羅斯的攻擊。 |
4月21日 | 微軟稱該事件並未涉及安全問題。 | |
5月27日 | 獨立網路安全研究團隊 nao_sec 發佈推文表示,一個從白俄羅斯上傳的惡意 Word 文檔利用遠端範本功能,使用 “ms-msdt”MSProtocol URI 協定執行惡意 PowerShell 代碼。 | |
5月30日 |
|
▌IOCs
檔案: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▌URL(s):
sputnikradio[.] netxmlformats[.] comexchange[.] oufca[.] com[.] au141[.] 98[.] 215[.] 99tibet-gov[.] web[.] app