ethical.blue Magazine

// Cybersecurity clarified.

Podatność Follina (CVE-2022-30190) i przykładowy exploit typu Proof of Concept

25.06.2022   Dawid Farbaniec
...
Najważniejsze: Poprawki bezpieczeństwa są tutaj.
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-30190

Dnia 27 maja 2022 roku na Twitterze nao_sec pojawiła się informacja o złośliwym dokumencie Microsoft Word, który za pomocą Microsoft Support Diagnostic Tool (protokół ms-msdt) uruchamia kod w języku Windows PowerShell.

Złośliwy dokument zawierał podatność zero-day nazwaną później CVE-2022-30190. Schematy poniżej prezentują ogólny mechanizm działania próbki exploita Follina.





Podczas moich opóźnionych eksperymentów stworzyłem edukacyjne narzędzie do generowania próbek typu PoC (ang. Proof of Concept). Próbki tego typu jedynie demonstrują działanie exploita i nie zawierają złośliwego kodu.

Cechy narzędzia

  • Generator ładunków .RTF
  • Serwer HTTP do dostarczenia ładunku .HTML
  • Wskazówki dot. bezpieczeństwa
  • Wyciąganie konfiguracji z zainfekowanych dokumentów
  • Łatwe do użycia i nauki









Narzędzie zostało stworzone w C#.NET i jest dostępne na koncie GitHub witryny ethical.blue Magazine tutaj:
https://github.com/ethicalblue/Follina-CVE-2022-30190-PoC-sample

Exploit typu PoC wykonany pomyślnie



Prezentacja w formie wideo

Wykaz literatury

https://twitter.com/nao_sec/status/1530196847679401984 [access: 2022-06-25]
https://gist.github.com/tothi/66290a42896a97920055e50128c9f040 [access: 2022-06-25]
https://github.com/chvancooten/follina.py [access: 2022-06-25]
https://github.com/JohnHammond/msdt-follina [access: 2022-06-25]
https://github.com/MalwareTech/FollinaExtractor [access: 2022-06-25]
https://sekurak.pl/krytyczna-podatnosc-0day-w-microsoft-office-po-otwarciu-dokumentu-mozna-przejac-komputer-cve-2022-30190-follina/ [access: 2022-06-25]
https://avlab.pl/follina-exploit-0-day-w-microsoft-office-z-bialorusi/ [access: 2022-06-25]
https://www.virustotal.com/gui/file/4a24048f81afbe9fb62e7a6a49adbd1faf41f266b5f9feecdceb567aec096784/detection [access: 2022-06-25]