ethicalPodatność Follina (CVE-2022-30190) i przykładowy exploit typu Proof of Concept
25.06.2022 Dawid Farbaniec
Najważniejsze: Poprawki bezpieczeństwa są tutaj.
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-30190
Dnia 27 maja 2022 roku na Twitterze nao_sec pojawiła się informacja o złośliwym dokumencie Microsoft Word, który za pomocą Microsoft Support Diagnostic Tool (protokół
Złośliwy dokument zawierał podatność zero-day nazwaną później
Podczas moich opóźnionych eksperymentów stworzyłem edukacyjne narzędzie do generowania próbek typu PoC (ang. Proof of Concept). Próbki tego typu jedynie demonstrują działanie exploita i nie zawierają złośliwego kodu.
Narzędzie zostało stworzone w C#.NET i jest dostępne na koncie GitHub witryny ethical.blue Magazine tutaj:
https://github.com/ethicalblue/Follina-CVE-2022-30190-PoC-sample
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-30190
Dnia 27 maja 2022 roku na Twitterze nao_sec pojawiła się informacja o złośliwym dokumencie Microsoft Word, który za pomocą Microsoft Support Diagnostic Tool (protokół
ms-msdt) uruchamia kod w języku Windows PowerShell.
Złośliwy dokument zawierał podatność zero-day nazwaną później
CVE-2022-30190. Schematy poniżej prezentują ogólny mechanizm działania próbki exploita Follina.
Podczas moich opóźnionych eksperymentów stworzyłem edukacyjne narzędzie do generowania próbek typu PoC (ang. Proof of Concept). Próbki tego typu jedynie demonstrują działanie exploita i nie zawierają złośliwego kodu.
Cechy narzędzia
- Generator ładunków .RTF
- Serwer HTTP do dostarczenia ładunku .HTML
- Wskazówki dot. bezpieczeństwa
- Wyciąganie konfiguracji z zainfekowanych dokumentów
- Łatwe do użycia i nauki
Narzędzie zostało stworzone w C#.NET i jest dostępne na koncie GitHub witryny ethical.blue Magazine tutaj:
https://github.com/ethicalblue/Follina-CVE-2022-30190-PoC-sample
Exploit typu PoC wykonany pomyślnie
Prezentacja w formie wideo
Wykaz literatury
https://twitter.com/nao_sec/status/1530196847679401984 [access: 2022-06-25]https://gist.github.com/tothi/66290a42896a97920055e50128c9f040 [access: 2022-06-25]
https://github.com/chvancooten/follina.py [access: 2022-06-25]
https://github.com/JohnHammond/msdt-follina [access: 2022-06-25]
https://github.com/MalwareTech/FollinaExtractor [access: 2022-06-25]
https://sekurak.pl/krytyczna-podatnosc-0day-w-microsoft-office-po-otwarciu-dokumentu-mozna-przejac-komputer-cve-2022-30190-follina/ [access: 2022-06-25]
https://avlab.pl/follina-exploit-0-day-w-microsoft-office-z-bialorusi/ [access: 2022-06-25]
https://www.virustotal.com/gui/file/4a24048f81afbe9fb62e7a6a49adbd1faf41f266b5f9feecdceb567aec096784/detection [access: 2022-06-25]