Nowy dzień, nowa… podatność
Przy obecnym poziomie zaawansowania systemów informatycznych nie sposób jest uniknąć problemów. Miliony linii kodu, które składają się na różne aplikacje mogą zawierać błędy, których może nie dać się wyłapać na etapie pisania i kontroli jakości. Niestety – życie.
W sieci pojawiła się nowa podatność opierająca się na pakiecie Microsoft Office o wdzięcznej nazwie Follina. Czym jest to zagrożenie? O tym poniżej.
Follina wykorzystuje podatność typu zero-day w pakiecie Microsoft Office oraz systemach Windows. Luka dotyczy możliwości wykonania dowolnego skryptu PowerShell za pośrednictwem odpowiednio spreparowanego dokumentu Word. Niejeden administrator teraz zapewne pomyśli, że przecież zablokował swoim użytkownikom wykonywanie skryptów, więc jemu nic nie grozi. Niestety – zablokowanie wykonywania skryptów na komputerze (czy to grzebiąc w rejestrze, czy przez GPO) nie zabezpiecza przez Folliną.
„Podatność wykorzystuje protokół ms-msdt, który uruchamia msdt.exe, by następnie odpalić skrypt w PowerShellu” (źródło: Twitter – profil @nano_sec)
Interesting maldoc was submitted from Belarus. It uses Word's external link to load the HTML and then uses the "ms-msdt" scheme to execute PowerShell code.https://t.co/hTdAfHOUx3 pic.twitter.com/rVSb02ZTwt
— nao_sec (@nao_sec) May 27, 2022
Drugą złą wiadomością dotyczącą Follina jest to, że nie trzeba otwierać pliku – wystarczy podejrzeć go w eksploratorze, aby skrypt został wykonany.
Na dzień pisania artykułu nie istnieje niestety łatka wydana przez Microsoft, jest natomiast obejście, które polega na wyłączeniu ms-msdt za pomocą poniższego skryptu PowerShell (źródło: CyberDrain – Kelvin Tegelaar):
$ENV:ActivateWorkaround = "Yes"
if($ENV:ActivateWorkaround -eq "Yes") {
New-PSDrive -PSProvider registry -Root HKEY_CLASSES_ROOT -Name HKCR
Set-Item -Path "HKCR:\ms-msdt" -Value "URL:ms-msdt_bak"
Rename-Item -Path "HKCR:\ms-msdt" -newName "ms-msdt_bak"
} else {
New-PSDrive -PSProvider registry -Root HKEY_CLASSES_ROOT -Name HKCR
Rename-Item -Path "HKCR:\ms-msdt_bak" -newName "ms-msdt"
Set-Item -Path "HKCR:\ms-msdt" -Value "URL:ms-msdt"
}
Alternatywą jest pobranie i wykonanie pliku modyfikującego zawartość rejestru, przygotowanego tutaj.