UA


UA


Уязвимость Follina в Microsoft Office: как обнаружить и предотвратить

Illustration

Александр Шаруев

Sales Engineer, BAKOTECH

moc.hcetokab%40veiurahs.rdnaskelo

Уязвимость в Microsoft Support Diagnostic Tool под названием Follina стала наиболее обсуждаемой за последние месяцы, и не зря. Большинство рабочих станций использует Windows в качестве операционной системы, практически на каждой из них установлен пакет MS Office. Как выяснилось, все они под серьезной угрозой.

В этой статье мы познакомимся ближе с уязвимостью CVE-2022-30190, рассмотрим в чем заключается ее опасность, а также как защититься от нее с помощью решений Trellix.

Краткая информация 

27 мая 2022 года исследователи из nao_sec сообщили в своем Twitter об интересном документе, который они обнаружили на VirusTotal. Документ был загружен с белорусского IP-адреса и предназначен для эксплуатации до сих пор неизвестной уязвимости. Он подтягивает HTML-файл, который вызывает средство устранения неисправностей (MSDT), чтобы загрузить полезную нагрузку и выполнить ее через PowerShell. Microsoft Support Diagnostic Tool (MSDT) – это инструмент, который используется для обнаружения ошибок в системе, но в этом случае он сам содержит критическую ошибку.

Главной опасностью Follina является то, что она не требует особого взаимодействия с пользователем: для эксплуатации достаточно просто открыть документ, а в некоторых модификациях – просто просмотреть его в проводнике. Также эксплойт не содержит макросов и не вызывает лишних предупреждений, что позволяет тайком выполнять вредоносный код в фоновом режиме. Кроме того, msdt.exe – это подписанный бинарный файл, благодаря которому вредоносный код может обходить базовые средства проверки Windows.

В результате злоумышленник получает возможность выполнить любую PowerShell-команду, то есть делать практически все что угодно, ограничиваясь лишь его уровнем привилегий и фантазией.

Follina в действии 

Ого, какие красивые обои

Сначала рассмотрим вариант, когда злоумышленнику необходимо изменить фоновое изображение в системе жертвы.

Создадим вредоносный документ. Во время его запуска выполнится PowerShell-скрипт wallpaper.ps1 из удаленного веб-сервера.

Illustration

При выполнении wallpaper.ps1 изменит фоновое изображение рабочего стола и выведет окно с сообщением пользователя. Скрипт выглядит так:

Invoke-WebRequest -Uri https://inquest.rs/static/uploads/1642589119473982.png -OutFile $env:userprofile/Pictures/trellix.png
Set-ItemProperty -path 'HKCU:\Control Panel\Desktop\' -name wallpaper -value $env:userprofile\Pictures\trellix.png
Start-Sleep -s 15
rundll32.exe user32.dll, UpdatePerUserSystemParameters, 0, $false
Add-Type -AssemblyName PresentationFramework; [System.Windows.MessageBox]::Show('We Bring Security to Life!', 'Trellix')

Далее вредоносный документ необходимо доставить на целевую систему и дождаться, пока пользователь его откроет.

После запуска документа на экране жертвы отображается процесс диагностики неисправностей, но на самом деле выполняется подготовленный злоумышленником скрипт. Полный процесс отработки эксплойта показан в видео.

Командная оболочка

Более реалистичным сценарием использования этой уязвимости будет получение удаленной командной оболочки. Благодаря ему хакер получит возможность проводить дополнительное исследование целевой системы и выполнять необходимые команды, действуя по ситуации.

Процесс создания документа для этого сценария несколько проще: необходимо указать номер порта для прослушивания соединений и имя сетевого интерфейса.

Illustration

После доставки документа и его открытия начинается диагностика неисправностей системы, а в фоновом режиме выполняется вредоносный скрипт. Он загружает утилиту netcat, а затем, с ее помощью, подключается к хакерскому серверу.

Способы защиты 

После обнаружения уязвимости Follina в конце мая, Microsoft понадобилось более двух недель для ее исправления. Под угрозой находилось большинство систем на базе Windows, а единственным способом защиты было использование систем безопасности от других производителей. В свою очередь, решения Trellix уже в первые дни выявляли и блокировали любые попытки эксплуатации данной уязвимости.

Эксплуатацию CVE-2022-30190 можно найти как на уровне рабочих станций, так и на уровне сети. Trellix позволяет обнаруживать угрозу сразу на обоих уровнях, что повышает эффективность защиты. Рассмотрим несколько ключевых решений.

Trellix Endpoint Security
Trellix Endpoint Security (ENS) – решение для защиты рабочих станций от самых разнообразных угроз, которое имеет функционал как сигнатурного, так и поведенческого анализа. Он способен с высокой скоростью выявлять известные угрозы, а в случае использования техник уклонения от защиты, обнаруживать их по подозрительным действиям.

После установки Trellix ENS на рабочую станцию была предпринята повторная попытка эксплуатации данной уязвимости. Сигнатурный анализ очистил документ сразу после его загрузки, поведенческий анализ устранил угрозу при запуске.

Illustration

Кроме того, Trellix ENS имеет отдельный функционал защиты от эксплуатации уязвимостей – Exploit Prevention. Обнаружение основывается на наборе правил, постоянно обновляемом производителем. Также можно создавать собственные правила обнаружения эксплойтов, специфические для каждой организации.

Вредному документу могут присвоить уникальный хэш, а полезную нагрузку обфускивать, однако для эксплуатации CVE-2022-30190, так или иначе, документу придется прибегнуть к процессу диагностики неисправностей. Для отслеживания этого действия создадим правило, которое будет контролировать обращение Microsoft Word, Excel и Outlook в msdt.exe.

Для создания собственного правила в расширенном отображении политики Exploit Prevention необходимо нажать "Add Expert Rule".

Illustration

В редакторе правила дать ему имя и важность, а затем выбрать объект защиты – в нашем случае это "Processes". Правило выглядит так: Rule {Process {Include OBJECT_NAME { -v "WINWORD.exe" }Include OBJECT_NAME { -v "EXCEL.exe" }Include OBJECT_NAME { -v "OUTLOOK.exe"}}Target {Match PROCESS {Include OBJECT_NAME { -v "msdt.exe" }
Include -access "CREATE"}}}

Illustration

После создания правила попытаемся снова проэксплуатировать уязвимость. Теперь при запуске вредоносного документа не происходит ничего лишнего. Если посмотреть журнал Trellix ENS, то можно увидеть срабатывание нашего правила, исходный и целевой процесс, а также строку-эксплойт в открытом виде.

Illustration

Помимо отслеживания процессов, Exploit Prevention позволяет создавать правила контроля действий с файлами, сервисами, ключами реестра, использованием API и попытками переполнения буфера.
Создание правил может показаться довольно сложным процессом, но возможности, предоставляемые Exploit Prevention, однозначно достойны времени изучения документации.

Trellix MVISION EDR

Trellix Endpoint Security – базовое решение для защиты рабочих станций. С его помощью блокируется около 80% как известных, так и неизвестных угроз. Повысить уровень защиты позволяет Trellix MVISION EDR, который проводит непрерывный анализ состояния рабочих станций и анализирует каждое событие на них. Запуск служб, создание файлов, изменение ключей реестра – все это будет тщательно исследовано и, в случае обнаружения угрозы, передано аналитику безопасности.

Для тестирования MVISION EDR была предпринята попытка эксплуатации с последующим получением командной оболочки. Приблизительно через минуту EDR сгенерировал два инцидента: один для попытки эксплуатации, второй для действий после получения командной оболочки.

Для каждого подозрительного файла EDR вычисляет хэш, сопоставляет действия процесса с техниками по MITRE ATT&CK, а также производит классификацию вредоносных действий по собственной методике. Это раскрывает причину недоверия к файлу, а также помогает более качественно проводить расследование.

В первом случае EDR обнаружил техники косвенного выполнения кода (Indirect Code Execution) и уклонение от обнаружения, так как для эксплуатации используется доверенный подписанный исполняемый файл. Также с помощью Trellix EDR можно увидеть порядок запуска процессов и выполнения команд: например, аналогично Exploit Prevention мы видим исходную строку-эксплойт.

Illustration

Во втором инциденте Trellix EDR обнаружил вредоносное сетевое соединение и зафиксировал каждый шаг, сделанный злоумышленником. Из отчета видно, что были запущены утилиты ping, whoami, systeminfo, nslookup и ipconfig, что свидетельствует о тщательной разведке. Также Trellix MVISION EDR удалось обнаружить IP-адрес злоумышленника и сетевой порт, прослушивающий соединение. Это позволило быстро заблокировать вредоносные сетевые соединения и уберечь другие системы от заражения.

Illustration

Кроме этого, с помощью Trellix MVISION EDR можно искать файлы с определенным именем или хешем, а затем удалять их, помещать зараженную рабочую станцию в карантин и производить автоматические расследования. Детальнее – в следующих статьях.
Trellix Network Security Platform
Trellix успешно обнаруживает и блокирует попытки эксплуатации уязвимостей на уровне рабочих станций, но его возможности не ограничиваются. Для более надежной защиты необходимо обеспечить выявление одной угрозы максимальным количеством разноплановых средств безопасности. Следующим препятствием на пути Follina станет Trellix Network Security Platform (NSP) – система класса IDS/IPS, обеспечивающая видимость сети, защиту от сетевых вторжений, DDOS-атак и вредоносного программного обеспечения.

Сразу после попытки эксплуатации CVE-2022-30190, NSP начал генерировать предупреждение критической важности об обнаруженной угрозе. На главной панели мониторинга сразу можно увидеть IP-адрес злоумышленника и жертвы этой атаки. Помимо этого, Trellix NSP позволяет скачать вредоносные сетевые пакеты для более глубокого изучения, например в Wireshark.

Illustration

Погрузившись в инцидент, можно увидеть по каким параметрам IPS обнаружил угрозу, а также подробности о 7-м уровне модели OSI. Важно отметить, что обнаружение Follina происходит на основе сигнатур, что может оказаться неэффективным в первые дни появления угрозы. Однако Trellix практически сразу выпустил правило, что позволило оградиться от этой угрозы.

Illustration

Для каждого обнаружения в Trellix NSP дано краткое описание угрозы, позволяющее лучше понимать ее опасность и возможные последствия. Для получения более подробной информации к каждому правилу прилагается ссылка на дополнительные источники.

Illustration

Подытожив, можно сказать, что Trellix Network Security Platform – это мощная и многофункциональная IDS/IPS, для описания возможностей которой не хватит и пяти подобных статей. Но самое главное, что для получения достойных результатов требуется только минимальная настройка системы.

Выводы 

CVE-2022-30190 с кодовым именем Follina – это серьезная угроза безопасности как для обычных пользователей, так и для крупных организаций.

Чтобы эффективно противостоять подобным угрозам, необходимо внедрять решения от проверенных производителей, которые позволят в кратчайшие сроки выявлять новые угрозы.

Trellix – хороший пример надежных производителей. Все его решения максимально интегрированы и демонстрируют высокую эффективность. С Trellix пользователи и компании могут обеспечить комплексную защиту инфраструктуры и предотвратить возникновение инцидентов.

Полезные ссылки 

● MS-MSDT "Follina" Attack Vector
● 'Follina' MS-MSDT n-day Microsoft Office RCE
● Документація з продуктів Trellix
● Microsoft Windows Support Diagnostic Tool (MSDT) Remote Code Execution Vulnerability
● Qbot malware now uses Windows MSDT zero-day in phishing attacks
● Exfiltrating Data With Bookmarks

Связаться с нами

Спасибо!

Ваша заявка принята. В ближайшее время мы с вами свяжемся для уточнения деталей.

Can't send form.

Please try again later.