ethicalPodatność Follina (CVE-2022-30190) i przykładowy exploit
Podatność oznaczona CVE-2022-30190 pozwala na utworzenie dokumentu Microsoft Word, który za pomocą Microsoft Support Diagnostic Tool (protokół ms-msdt) uruchamia kod w języku Windows PowerShell. Dokument zawierał podatność dnia zero (ang. zero day) nazwaną później CVE-2022-30190. Schematy poniżej prezentują ogólny mechanizm działania próbki exploita Follina. Edukacyjna próbka stworzona przez ethical.blue Magazine jedynie demonstruje działanie exploita i nie zawiera niebezpiecznego kodu. Narzędzie posiada m.in. generator ładunków .rtf (ang. payload) oraz pozwala na wyciąganie konfiguracji z zainfekowanych dokumentów.
Prezentacja
Schemat działania
Łańcuch infekcji w przykładowym ataku wygląda jak poniżej.
Powiązania fragmentów kodu Follina (CVE-2022-30190)
Udostępniany przez HTTP plik .html zawiera kod JavaScript w którym jest osadzony ładunek (ang. payload) w PowerShell. Odwołania do pliku .html znajdują się w zainfekowanych dokumentach .rtf lub .docx.
Edukacyjny exploit na podatność Follina (CVE-2022-30190)
Edukacyjny exploit przygotowany przez ethical.blue Magazine wykorzystuje niegroźny ładunek (ang. payload) zawierający funkcję [System.Windows.MessageBox]::Show('...','ethical.blue','OK','Error');.
Powoduje to jedynie wyświetlenie okna dialogowego z określonym komunikatem.
Wyciąganie konfiguracji z zainfekowanych dokumentów
W przypadku analizy zainfekowanych dokumentów przydatnym może okazać się narzędzie pozwalające łatwo wyciągnąć konfigurację.
Uruchomienie w środowisku izolowanym
Narzędzie zostało sprawdzone w środowisku izolowanym, aby potwierdzić, że exploit działa i wykonał ładunek PowerShell (ang. payload).
