Nowy dzień, nowa… podatność

Nowy dzień, nowa… podatność

   Bezpieczeństwo    3 czerwca 2022  |  0
Open Clue - outsourcing IT opieka informatyczna wsparcie IT

Przy obecnym poziomie zaawansowania systemów informatycznych nie sposób jest uniknąć problemów. Miliony linii kodu, które składają się na różne aplikacje mogą zawierać błędy, których może nie dać się wyłapać na etapie pisania i kontroli jakości. Niestety – życie.

W sieci pojawiła się nowa podatność opierająca się na pakiecie Microsoft Office o wdzięcznej nazwie Follina. Czym jest to zagrożenie? O tym poniżej.

Follina wykorzystuje podatność typu zero-day w pakiecie Microsoft Office oraz systemach Windows. Luka dotyczy możliwości wykonania dowolnego skryptu PowerShell za pośrednictwem odpowiednio spreparowanego dokumentu Word. Niejeden administrator teraz zapewne pomyśli, że przecież zablokował swoim użytkownikom wykonywanie skryptów, więc jemu nic nie grozi. Niestety – zablokowanie wykonywania skryptów na komputerze (czy to grzebiąc w rejestrze, czy przez GPO) nie zabezpiecza przez Folliną.

„Podatność wykorzystuje protokół ms-msdt, który uruchamia msdt.exe, by następnie odpalić skrypt w PowerShellu” (źródło: Twitter – profil @nano_sec)

Drugą złą wiadomością dotyczącą Follina jest to, że nie trzeba otwierać pliku – wystarczy podejrzeć go w eksploratorze, aby skrypt został wykonany.

Na dzień pisania artykułu nie istnieje niestety łatka wydana przez Microsoft, jest natomiast obejście, które polega na wyłączeniu ms-msdt za pomocą poniższego skryptu PowerShell (źródło: CyberDrain – Kelvin Tegelaar):

$ENV:ActivateWorkaround = "Yes"
if($ENV:ActivateWorkaround -eq "Yes") {
    New-PSDrive -PSProvider registry -Root HKEY_CLASSES_ROOT -Name HKCR
    Set-Item -Path "HKCR:\ms-msdt" -Value "URL:ms-msdt_bak"
    Rename-Item -Path "HKCR:\ms-msdt" -newName "ms-msdt_bak"
} else {
    New-PSDrive -PSProvider registry -Root HKEY_CLASSES_ROOT -Name HKCR
    Rename-Item -Path "HKCR:\ms-msdt_bak" -newName "ms-msdt"

    Set-Item -Path "HKCR:\ms-msdt" -Value "URL:ms-msdt"
}

Alternatywą jest pobranie i wykonanie pliku modyfikującego zawartość rejestru, przygotowanego tutaj.

 

Open Clue Sp. z o.o.
ul. Złota 75A/7
00-819 Warszawa
NIP: PL5273018007
REGON: 523036800
KRS: 0000990713

Kapitał zakładowy: 21 000 zł

kontakt@openclue.pl

+48 728 818 111

©  2024 Open Clue - Outsourcing IT. Built using WordPress and the Mesmerize Theme

Ciasteczka!
Nasza strona wykorzystuje ciasteczka. Jeśli jest to dla Ciebie OK - kliknij 'Akceptuję wszystkie'. Jeśli chcesz dostosować ustawienia kliknij 'Ustawienia'.
Ustawienia Odrzuć wszystkie Zaakceptuj wszystkie
Ciasteczka!
Wybierz, które ciasteczka akceptujesz.
Zapisz Odrzuć wszystkie Zaakceptuj wszystkie