Microsoft признаха наличието на Follina
В края на предишния месец експерти по сигурност заяви в Twitter, че е разкрил незнайна до момента накърнимост в MS Word. Това е станало, откакто някой в Беларус е качил в услугата за инспекция на сигурността VirusTotal Word документ, чието отваряне води до осъществяването на PowerShell код.
По-късно, въпросният документ е проучен от други експерти, като да вземем за пример Кевин Бомонт, който и разбор на откритието. Той написа, че документът употребява функционалност в Word за добиване на отдалечени темплейти, с цел да смъкна HTML файл от незнаен сървър. Той на собствен ред употребява Microsoft Windows Support Diagnostic Tool (MSDT) MSProtocol URI схемата и извършва PowerShell код.
„Това не би трябвало да е допустимо. Има много неща, които се случват тук, само че първия проблем е, че Microsoft Word извършва код чрез msdt (поддържащ инструмент), даже и при неразрешени макроси. Potected View се задейства, само че в случай че измененията документа в RTF, кодът се извършва дори без да се отваря документа (чрез таба за прелиминарен обзор в Explorer), да не приказваме за Protected View“, написа Бомонт в разбора си от края на предишния месец. Той е и „кръстник“ на уязвимостта, наричайки я Follina, поради част от името на един от зловредните документи, циркулиращи из Интернет, който приключва с „0438“, което се явява пощенския код на италианския град Фолина. Отделно от това, уязвимостта към този момент има и приписан идентификационен номер – CVE-2022-30190.
SecurityWeek оповестява, че в началото Microsoft отхвърлят изказванието, че става дума за проблем със сигурността, без значение от това, че има отчети за експлоатирането ѝ още през април тази година. Впоследствие от компанията декларират, че казусът е оправен, въпреки че не е издадена публично актуализация за него. За това написа и Бомонт, който вижда, че експлойтът за CVE-2022-30190 не работи в инсайдърката и последната версия на Office. Самите Microsoft към този момент признават, че става дума за накърнимост в сигурността. Но не в Office, а в MSDT.
„Съществува накърнимост, обвързвана с опцията за отдалечено осъществяване на код, когато MSDT е стартиран посредством URL протокола от приложение с права за това, като да вземем за пример Word. Страна, която експлоатира сполучливо тази накърнимост може да извършва случаен код с привилегии на приложението, което е осъществило стартирането. След това, атакуващата страна може да конфигурира стратегии, да преглежда, трансформира или трие информация или да основава нови сметки в подтекста на разрешените от потребителя права“, Microsoft в специфичен бюлетин.
Уязвимостта визира Researchers have confirmed that exploitation works against Office Pro Plus, Office 2013, Office 2016, Office 2019 и Office 2021 в Windows 7, Windows 8.1, Windows 10, Windows 11, Windows Server 2008, Windows Server 2012, Windows Server 2016, Windows Server 2019 и Windows Server 2022.
Microsoft разгласяват също по този начин и за предотвратяване от възможни офанзиви, като Defender към този момент пази потребителите от експлоатирането на CVE-2022-30190. на експлойт за казуса във VirusTotal показва, че съвсем всички известни антивирусни стратегии го засичат.
По-късно, въпросният документ е проучен от други експерти, като да вземем за пример Кевин Бомонт, който и разбор на откритието. Той написа, че документът употребява функционалност в Word за добиване на отдалечени темплейти, с цел да смъкна HTML файл от незнаен сървър. Той на собствен ред употребява Microsoft Windows Support Diagnostic Tool (MSDT) MSProtocol URI схемата и извършва PowerShell код.
„Това не би трябвало да е допустимо. Има много неща, които се случват тук, само че първия проблем е, че Microsoft Word извършва код чрез msdt (поддържащ инструмент), даже и при неразрешени макроси. Potected View се задейства, само че в случай че измененията документа в RTF, кодът се извършва дори без да се отваря документа (чрез таба за прелиминарен обзор в Explorer), да не приказваме за Protected View“, написа Бомонт в разбора си от края на предишния месец. Той е и „кръстник“ на уязвимостта, наричайки я Follina, поради част от името на един от зловредните документи, циркулиращи из Интернет, който приключва с „0438“, което се явява пощенския код на италианския град Фолина. Отделно от това, уязвимостта към този момент има и приписан идентификационен номер – CVE-2022-30190.
SecurityWeek оповестява, че в началото Microsoft отхвърлят изказванието, че става дума за проблем със сигурността, без значение от това, че има отчети за експлоатирането ѝ още през април тази година. Впоследствие от компанията декларират, че казусът е оправен, въпреки че не е издадена публично актуализация за него. За това написа и Бомонт, който вижда, че експлойтът за CVE-2022-30190 не работи в инсайдърката и последната версия на Office. Самите Microsoft към този момент признават, че става дума за накърнимост в сигурността. Но не в Office, а в MSDT.
„Съществува накърнимост, обвързвана с опцията за отдалечено осъществяване на код, когато MSDT е стартиран посредством URL протокола от приложение с права за това, като да вземем за пример Word. Страна, която експлоатира сполучливо тази накърнимост може да извършва случаен код с привилегии на приложението, което е осъществило стартирането. След това, атакуващата страна може да конфигурира стратегии, да преглежда, трансформира или трие информация или да основава нови сметки в подтекста на разрешените от потребителя права“, Microsoft в специфичен бюлетин.
Уязвимостта визира Researchers have confirmed that exploitation works against Office Pro Plus, Office 2013, Office 2016, Office 2019 и Office 2021 в Windows 7, Windows 8.1, Windows 10, Windows 11, Windows Server 2008, Windows Server 2012, Windows Server 2016, Windows Server 2019 и Windows Server 2022.
Microsoft разгласяват също по този начин и за предотвратяване от възможни офанзиви, като Defender към този момент пази потребителите от експлоатирането на CVE-2022-30190. на експлойт за казуса във VirusTotal показва, че съвсем всички известни антивирусни стратегии го засичат.
Източник: kaldata.com
КОМЕНТАРИ