Далее вредоносный документ необходимо доставить на целевую систему и дождаться, пока пользователь его откроет.

После запуска документа на экране жертвы отображается процесс диагностики неисправностей, но на самом деле выполняется подготовленный злоумышленником скрипт. Полный процесс отработки эксплойта показан в видео.

Способы защиты 

После обнаружения уязвимости Follina в конце мая, Microsoft понадобилось более двух недель для ее исправления. Под угрозой находилось большинство систем на базе Windows, а единственным способом защиты было использование систем безопасности от других производителей. В свою очередь, решения Trellix уже в первые дни выявляли и блокировали любые попытки эксплуатации данной уязвимости.

Эксплуатацию CVE-2022-30190 можно найти как на уровне рабочих станций, так и на уровне сети. Trellix позволяет обнаруживать угрозу сразу на обоих уровнях, что повышает эффективность защиты. Рассмотрим несколько ключевых решений.
Trellix Endpoint Security
Trellix Endpoint Security (ENS) – решение для защиты рабочих станций от самых разнообразных угроз, которое имеет функционал как сигнатурного, так и поведенческого анализа. Он способен с высокой скоростью выявлять известные угрозы, а в случае использования техник уклонения от защиты, обнаруживать их по подозрительным действиям.

После установки Trellix ENS на рабочую станцию была предпринята повторная попытка эксплуатации данной уязвимости. Сигнатурный анализ очистил документ сразу после его загрузки, поведенческий анализ устранил угрозу при запуске.

Кроме того, Trellix ENS имеет отдельный функционал защиты от эксплуатации уязвимостей – Exploit Prevention. Обнаружение основывается на наборе правил, постоянно обновляемом производителем. Также можно создавать собственные правила обнаружения эксплойтов, специфические для каждой организации.

Вредному документу могут присвоить уникальный хэш, а полезную нагрузку обфускивать, однако для эксплуатации CVE-2022-30190, так или иначе, документу придется прибегнуть к процессу диагностики неисправностей. Для отслеживания этого действия создадим правило, которое будет контролировать обращение Microsoft Word, Excel и Outlook в msdt.exe.

Для создания собственного правила в расширенном отображении политики Exploit Prevention необходимо нажать "Add Expert Rule".

В редакторе правила дать ему имя и важность, а затем выбрать объект защиты – в нашем случае это "Processes". Правило выглядит так: Rule {Process {Include OBJECT_NAME { -v "WINWORD.exe" }Include OBJECT_NAME { -v "EXCEL.exe" }Include OBJECT_NAME { -v "OUTLOOK.exe"}}Target {Match PROCESS {Include OBJECT_NAME { -v "msdt.exe" }
Include -access "CREATE"}}}

После создания правила попытаемся снова проэксплуатировать уязвимость. Теперь при запуске вредоносного документа не происходит ничего лишнего. Если посмотреть журнал Trellix ENS, то можно увидеть срабатывание нашего правила, исходный и целевой процесс, а также строку-эксплойт в открытом виде.

Помимо отслеживания процессов, Exploit Prevention позволяет создавать правила контроля действий с файлами, сервисами, ключами реестра, использованием API и попытками переполнения буфера.
Создание правил может показаться довольно сложным процессом, но возможности, предоставляемые Exploit Prevention, однозначно достойны времени изучения документации.

Trellix MVISION EDR

Trellix Endpoint Security – базовое решение для защиты рабочих станций. С его помощью блокируется около 80% как известных, так и неизвестных угроз. Повысить уровень защиты позволяет Trellix MVISION EDR, который проводит непрерывный анализ состояния рабочих станций и анализирует каждое событие на них. Запуск служб, создание файлов, изменение ключей реестра – все это будет тщательно исследовано и, в случае обнаружения угрозы, передано аналитику безопасности.

Для тестирования MVISION EDR была предпринята попытка эксплуатации с последующим получением командной оболочки. Приблизительно через минуту EDR сгенерировал два инцидента: один для попытки эксплуатации, второй для действий после получения командной оболочки.

Для каждого подозрительного файла EDR вычисляет хэш, сопоставляет действия процесса с техниками по MITRE ATT&CK, а также производит классификацию вредоносных действий по собственной методике. Это раскрывает причину недоверия к файлу, а также помогает более качественно проводить расследование.

В первом случае EDR обнаружил техники косвенного выполнения кода (Indirect Code Execution) и уклонение от обнаружения, так как для эксплуатации используется доверенный подписанный исполняемый файл. Также с помощью Trellix EDR можно увидеть порядок запуска процессов и выполнения команд: например, аналогично Exploit Prevention мы видим исходную строку-эксплойт.

Во втором инциденте Trellix EDR обнаружил вредоносное сетевое соединение и зафиксировал каждый шаг, сделанный злоумышленником. Из отчета видно, что были запущены утилиты ping, whoami, systeminfo, nslookup и ipconfig, что свидетельствует о тщательной разведке. Также Trellix MVISION EDR удалось обнаружить IP-адрес злоумышленника и сетевой порт, прослушивающий соединение. Это позволило быстро заблокировать вредоносные сетевые соединения и уберечь другие системы от заражения.

Кроме этого, с помощью Trellix MVISION EDR можно искать файлы с определенным именем или хешем, а затем удалять их, помещать зараженную рабочую станцию в карантин и производить автоматические расследования. Детальнее – в следующих статьях.
Trellix Network Security Platform
Trellix успешно обнаруживает и блокирует попытки эксплуатации уязвимостей на уровне рабочих станций, но его возможности не ограничиваются. Для более надежной защиты необходимо обеспечить выявление одной угрозы максимальным количеством разноплановых средств безопасности. Следующим препятствием на пути Follina станет Trellix Network Security Platform (NSP) – система класса IDS/IPS, обеспечивающая видимость сети, защиту от сетевых вторжений, DDOS-атак и вредоносного программного обеспечения.

Сразу после попытки эксплуатации CVE-2022-30190, NSP начал генерировать предупреждение критической важности об обнаруженной угрозе. На главной панели мониторинга сразу можно увидеть IP-адрес злоумышленника и жертвы этой атаки. Помимо этого, Trellix NSP позволяет скачать вредоносные сетевые пакеты для более глубокого изучения, например в Wireshark.

Погрузившись в инцидент, можно увидеть по каким параметрам IPS обнаружил угрозу, а также подробности о 7-м уровне модели OSI. Важно отметить, что обнаружение Follina происходит на основе сигнатур, что может оказаться неэффективным в первые дни появления угрозы. Однако Trellix практически сразу выпустил правило, что позволило оградиться от этой угрозы.

Для каждого обнаружения в Trellix NSP дано краткое описание угрозы, позволяющее лучше понимать ее опасность и возможные последствия. Для получения более подробной информации к каждому правилу прилагается ссылка на дополнительные источники.

Подытожив, можно сказать, что Trellix Network Security Platform – это мощная и многофункциональная IDS/IPS, для описания возможностей которой не хватит и пяти подобных статей. Но самое главное, что для получения достойных результатов требуется только минимальная настройка системы.

Выводы 

CVE-2022-30190 с кодовым именем Follina – это серьезная угроза безопасности как для обычных пользователей, так и для крупных организаций.

Чтобы эффективно противостоять подобным угрозам, необходимо внедрять решения от проверенных производителей, которые позволят в кратчайшие сроки выявлять новые угрозы.

Trellix – хороший пример надежных производителей. Все его решения максимально интегрированы и демонстрируют высокую эффективность. С Trellix пользователи и компании могут обеспечить комплексную защиту инфраструктуры и предотвратить возникновение инцидентов.

Полезные ссылки 

● MS-MSDT "Follina" Attack Vector
● 'Follina' MS-MSDT n-day Microsoft Office RCE
● Документація з продуктів Trellix
● Microsoft Windows Support Diagnostic Tool (MSDT) Remote Code Execution Vulnerability
● Qbot malware now uses Windows MSDT zero-day in phishing attacks
● Exfiltrating Data With Bookmarks