Далі шкідливий документ необхідно доставити на цільову систему і дочекатися поки користувач його відкриє.
Після запуску документа, на екрані жертви відображається процес діагностики несправностей, але насправді виконується підготовлений зловмисником скрипт. Повний процес відпрацювання експлоїту продемонстровано на відео.

Способи захисту

Після виявлення вразливості Follina наприкінці травня, Microsoft знадобилося понад два тижні для її виправлення. Під загрозою перебувала більшість систем на базі ОС Windows, а єдиним способом захисту було використання систем безпеки від інших виробників. Своєю чергою, рішення Trellix вже в перші дні виявляли й блокували будь-які спроби експлуатації даної вразливості.
Експлуатацію CVE-2022-30190 можна виявити як на рівні робочих станцій, так і на рівні мережі. Trellix дозволяє виявляти загрозу відразу на обох рівнях, що підвищує ефективність захисту. Розглянемо декілька ключових рішень.
Trellix Endpoint Security
Trellix Endpoint Security (ENS) — рішення для захисту робочих станцій від найрізноманітніших загроз, яке має функціонал як сигнатурного, так і поведінкового аналізу. Він здатний з високою швидкістю виявляти відомі загрози, а у разі використання технік ухилення від засобів захисту, виявляти їх за підозрілими діями.

Після встановлення Trellix ENS на робочу станцію було здійснено повторну спробу експлуатації даної вразливості. Сигнатурний аналіз очистив документ відразу ж після його завантаження, поведінковий аналіз усунув загрозу під час запуску.

Окрім цього, Trellix ENS має окремий функціонал захисту від експлуатації вразливостей — Exploit Prevention. Виявлення ґрунтується на наборі правил, що постійно оновлюється виробником. Також є можливість створювати власні правила виявлення експлоїтів, специфічні для кожної організації.

Шкідливому документу можуть присвоїти унікальний хеш, а корисне навантаження обфускувати, проте для експлуатації CVE-2022-30190, так чи інакше, документу доведеться звернутися до процесу діагностики несправностей. Для відстеження цієї дії створимо правило, яке контролюватиме звернення Microsoft Word, Excel та Outlook до msdt.exe.

Для створення власного правила, у розширеному відображенні політики Exploit Prevention необхідно натиснути "Add Expert Rule".

У редакторі правила надати йому ім'я, важливість і вибрати об'єкт захисту, у нашому випадку це "Processes". Саме правило виглядає так:
Rule {
Process {
Include OBJECT_NAME { -v "WINWORD.exe" }
Include OBJECT_NAME { -v "EXCEL.exe" }
Include OBJECT_NAME { -v "OUTLOOK.exe"}
}
Target {
Match PROCESS {
Include OBJECT_NAME { -v "msdt.exe" }

Include -access "CREATE"
}
}
}

Після створення правила спробуємо проексплуатувати вразливість ще раз. Тепер під час запуску шкідливого документа не відбувається нічого зайвого. Якщо переглянути журнал Trellix ENS, то можна побачити спрацювання нашого правила, вихідний та цільовий процес, а також рядок-експлоїт у відкритому вигляді.

Крім відстеження процесів, Exploit Prevention дозволяє створювати правила контролю дій з файлами, сервісами, ключами реєстру, використанням API та спробами переповнення буфера.

Створення правил може здатися доволі складним процесом, але можливості, що надає Exploit Prevention, однозначно варті часу вивчення документації.

Trellix MVISION EDR

Trellix Endpoint Security — базове рішення для захисту робочих станцій. З його допомогою блокується близько 80% як відомих, так і невідомих загроз. Підвищити рівень захисту дозволяє Trellix MVISION EDR, який проводить безперервний аналіз стану робочих станцій та аналізує кожну подію на них. Запуск служб, створення файлів, зміна ключів реєстру — все це буде ретельно досліджено та, у разі виявлення загрози, повідомлено аналітику безпеки.

Для тестування MVISION EDR було проведено спробу експлуатації з подальшим отриманням командної оболонки. Приблизно через хвилину EDR згенерував два інциденти: один для спроби експлуатації, другий — для дій після отримання командної оболонки.

Для кожного підозрілого файлу EDR вираховує хеш, зіставляє дії процесу з техніками по MITRE ATT&CK, а також проводить класифікацію шкідливих дій за власною методикою. Це розкриває причину недовіри до файлу, а також допомагає якісніше проводити розслідування.

У першому випадку EDR виявив техніки непрямого виконання коду (Indirect Code Execution) та ухилення від виявлення, бо для експлуатації використовується довірений підписаний виконуваний файл. Також за допомогою Trellix EDR можна побачити порядок запуску процесів та виконання команд: наприклад, аналогічно з Exploit Prevention ми бачимо вихідний рядок-експлоїт.

У другому інциденті Trellix EDR виявив шкідливе мережне з'єднання та зафіксував кожен крок, зроблений зловмисником. Зі звіту видно, що були запущені утиліти ping, whoami, systeminfo, nslookup та ipconfig, що свідчить про ретельну розвідку. Також Trellix MVISION EDR вдалося виявити IP-адресу зловмисника та мережний порт, що прослуховує з'єднання. Це дозволить швидко заблокувати шкідливі мережні з’єднання та вберегти інші системи від зараження.

Крім цього, за допомогою Trellix MVISION EDR можна шукати файли з певним ім'ям або хешем, а потім видаляти їх, поміщати заражену робочу станцію в карантин та проводити автоматичні розслідування. Детальніше — у наступних статтях.
Trellix Network Security Platform

Trellix успішно виявляє та блокує спроби експлуатації вразливостей на рівні робочих станцій, але на цьому його можливості не обмежуються. Для більш надійного захисту необхідно забезпечити виявлення однієї загрози максимальною кількістю різнопланових засобів безпеки. Наступною перешкодою на шляху Follina стане Trellix Network Security Platform (NSP) — система класу IDS/IPS, яка забезпечує видимість мережі, захист від мережевих вторгнень, DDOS-атак і шкідливого програмного забезпечення.

Відразу після спроби експлуатації CVE-2022-30190, NSP почав генерувати попередження критичної важливості про виявлену загрозу. На головній панелі моніторингу одразу можна побачити IP-адресу зловмисника і жертви цієї атаки. Крім цього, Trellix NSP дозволяє завантажити шкідливі мережеві пакети для більш глибокого вивчення, наприклад у Wireshark.

Занурившись в інцидент, можна побачити за якими параметрами IPS виявив загрозу, а також подробиці про 7-й рівень моделі OSI. Важливо відзначити, що виявлення Follina відбувається на основі сигнатур, що може бути неефективним у перші дні появи загрози. Однак Trellix практично відразу випустив правило, що дозволило захиститися від цієї загрози.

Для кожного виявлення в Trellix NSP надано короткий опис загрози, що дозволяє краще розуміти її небезпеку та можливі наслідки. Для отримання докладнішої інформації до кожного правила прикладається посилання на додаткові джерела.

Загалом, Trellix Network Security Platform — це потужна та багатофункціональна IDS/IPS, для опису можливостей якої не вистачить і п'яти подібних статей. Але найголовніше, що для отримання гідних результатів потрібно тільки мінімальне налаштування системи.

Висновки

CVE-2022-30190 з кодовим ім'ям Follina — це серйозна загроза безпеці як для звичайних користувачів, так і для великих організацій.
Щоб ефективно протистояти подібним загрозам, необхідно впроваджувати рішення від перевірених виробників, які дозволять у найменші терміни виявляти нові загрози.

Trellix — гарний приклад надійних виробників. Всі його рішення максимально інтегровані між собою та демонструють високу ефективність. З Trellix користувачі та компанії можуть забезпечити комплексний захист інфраструктури та запобігти виникненню інцидентів.

Корисні посилання 

● MS-MSDT "Follina" Attack Vector
● 'Follina' MS-MSDT n-day Microsoft Office RCE
● Документація з продуктів Trellix
● Microsoft Windows Support Diagnostic Tool (MSDT) Remote Code Execution Vulnerability
● Qbot malware now uses Windows MSDT zero-day in phishing attacks
● Exfiltrating Data With Bookmarks