Приветствую, Codeby!
В этой статье мы разберем как работает CVE-2022-30190 и на практике испытаем данную уязвимость.
Введение:
27 Мая на VirusTotal из Беларуси поступил документ Microsoft Office со странным зловредным кодом, уязвимость была опознана как 0-day, что делало ее особенно опасной в атаках.
Риск затрагивает только компьютеры со включенным протоколом MSDT URI и с ОС Winows.
Для эксплуатации так-же не требуется использование макросов, что делает атаку еще легче, все что требуется атакующему - специальный юрл с использованием MSDT URI для выполнения powershell команд.
Эксплуатация:
Как мы поняли, эксплуатировать данную уязвимость очень легко, POC для исполнения кода уже доступен на гитхабе, с помощью него мы сгененерируем документ с полезной нагрузкой для запуска произвольных команд.
Для успешной атаки понадобиться HTTP сервер у которого будут запрошены определенные ресурсы, после чего наш сервер передаст полезную нагрузку с Reverse Shell.
Сам билдер вместе с сервером очень компактный - занимает всего 167 строк
Для запуска нам понадобятся модуль netifaces, установим его с помощью pip:
Теперь запускаем программу указав IP и порт для реверс шелла:
В папке проекта появится follina.doc, при его запуске мы получим коннект!
Как мы видим нам с легкостью удалось запустить удаленный код на стороне пользователя, всего лишь заставив открыть вредоносный doc файл!
Защита:
Для защиты от уязвимости достаточно просто отключить уязвимый протокол MSDT URL:
Это - самый простой способ, как мы видим исправление такое же легкое как и сама эксплуатация, конечно это не единственный путь исправления, Microsoft выпустила несколько методов решения данной ситуации, однако на момент написания статьи самого патча компания не выпустила.
Вывод:
Уязвимость CVE-2022-30190 очень легка в эксплуатации и исправлении, но к сожалению до выхода патча многие остаются с риском быть взломаными обычным вордовским документом. А неосторожность пользователя в открытии незнакомых файлов на рабочем компьютере может превести к катастрофе внутри компании, из-за чего всем остается ожидать патч от Microsoft
В этой статье мы разберем как работает CVE-2022-30190 и на практике испытаем данную уязвимость.
Введение:
27 Мая на VirusTotal из Беларуси поступил документ Microsoft Office со странным зловредным кодом, уязвимость была опознана как 0-day, что делало ее особенно опасной в атаках.
Риск затрагивает только компьютеры со включенным протоколом MSDT URI и с ОС Winows.
Для эксплуатации так-же не требуется использование макросов, что делает атаку еще легче, все что требуется атакующему - специальный юрл с использованием MSDT URI для выполнения powershell команд.
Эксплуатация:
Как мы поняли, эксплуатировать данную уязвимость очень легко, POC для исполнения кода уже доступен на гитхабе, с помощью него мы сгененерируем документ с полезной нагрузкой для запуска произвольных команд.
Для успешной атаки понадобиться HTTP сервер у которого будут запрошены определенные ресурсы, после чего наш сервер передаст полезную нагрузку с Reverse Shell.
Сам билдер вместе с сервером очень компактный - занимает всего 167 строк
Для запуска нам понадобятся модуль netifaces, установим его с помощью pip:
Код:
pip install netifacesЕсли у вас имеются проблемы с установкой, то вероятно у вас не установлен Visual Studio, устаовите его
Ссылка скрыта от гостей
Код:
python3 follina.py -i 0.0.0.0 -r 4000Как мы видим нам с легкостью удалось запустить удаленный код на стороне пользователя, всего лишь заставив открыть вредоносный doc файл!
Защита:
Для защиты от уязвимости достаточно просто отключить уязвимый протокол MSDT URL:
Код:
reg delete HKEY_CLASSES_ROOT\ms-msdt /fВывод:
Уязвимость CVE-2022-30190 очень легка в эксплуатации и исправлении, но к сожалению до выхода патча многие остаются с риском быть взломаными обычным вордовским документом. А неосторожность пользователя в открытии незнакомых файлов на рабочем компьютере может превести к катастрофе внутри компании, из-за чего всем остается ожидать патч от Microsoft
Последнее редактирование модератором:
