Исследователи обнаружили очередную достаточно серьезную уязвимость в продуктах Microsoft, потенциально позволяющую злоумышленникам выполнить произвольный код. Ей присвоен номер CVE-2022-30190, а в среде исследователей ей дали имя Follina. Самое неприятное, что патча пока нет, а тем временем уязвимость уже активно эксплуатируется злоумышленниками. Пока обновление разрабатывается, всем пользователям и администраторам Windows рекомендуют воспользоваться временными обходными решениями.
Что за уязвимость CVE-2022-30190 и какие продукты она затрагивает
Сама по себе уязвимость CVE-2022-30190 содержится в инструменте Microsoft Windows Support Diagnostic Tool (MSDT), но из-за особенностей реализации этого инструмента она может быть поэксплуатирована при помощи вредоносного офисного документа.
MSDT — это приложение, которое используется в случае некорректной работы Windows для автоматизированного сбора диагностической информации и отправки ее в Microsoft. Оно может быть вызвано из другого приложения (как пример обычно приводят Microsoft Word) через специальный протокол MSDT URL. При успешной эксплуатации уязвимости злоумышленник получает возможность запустить произвольный код с привилегиями вызывающего MSDT приложения — то есть в данном случае с правами пользователя, открывшего вредоносный файл.
Уязвимость CVE-2022-30190 можно проэксплуатировать во всех операционных системах семейства Windows, как обычных, так и серверных.
Как злоумышленники эксплуатируют CVE-2022-30190
В качестве демонстрации атаки исследователи описывают следующий алгоритм. Злоумышленники создают вредоносный офисный документ и подсовывают его жертве. Самый банальный способ это сделать — прислать электронное письмо с вложением, приправив его какой-нибудь классической уловкой из арсенала социальной инженерии, убеждающей получателя открыть файл. Что-нибудь из серии «Срочно проверьте контракт, завтра подписание».
В свою очередь, в зараженном файле имеется ссылка на HTML-файл, в котором содержится код JavaScript, запускающий в командной строке вредоносный код через MSDT. В итоге атакующие получают возможность устанавливать программы, просматривать, изменять или уничтожать данные, а также создавать новые аккаунты — то есть делать все, что позволяют привилегии пользователя, открывшего зараженный файл.
Как остаться в безопасности
Как уже было сказано в начале, патча пока нет. Так что для противодействия Microsoft рекомендует отключить протокол MSDT URL. Для этого необходимо запустить командную строку с правами администратора и выполнить команду reg delete HKEY_CLASSES_ROOTms-msdt /f
. Прежде чем это сделать, будет разумно сохранить резервную копию реестра reg export HKEY_CLASSES_ROOTms-msdt имя_файла
. В таком случае можно будет быстро восстановить реестр командой reg import имя_файла
, как только нужда в этом временном решении отпадет.
Само собой, это только временная мера, и по-хорошему нужно обязательно установить обновление, закрывающее уязвимость Follina, как только оно станет доступно.
Продукты «Лаборатории Касперского» выявляют попытки эксплуатации уязвимости CVE-2022-30190. Подробную техническую информацию можно найти в блоге Securelst.
Описанные в сети методы эксплуатации данной уязвимости подразумевают применение писем с вредоносным вложением и методов социальной инженерии. Так что мы рекомендуем с еще большей, чем обычно, осторожностью относиться к входящим письмам от неизвестных отправителей, особенно если они содержат во вложении документы MS Office. Компаниям имеет смысл регулярно повышать осведомленность сотрудников о типичных уловках злоумышленников.
Кроме того, все устройства, имеющие доступ к Интернету, должны быть снабжены надежными защитными решениями. Даже при использовании неизвестной уязвимости они могут предотвратить запуск постороннего вредоносного кода на машине пользователя.