Windows严重漏洞Follina:未修复的CVE-2022-30190威胁分析
一篇关于名为Follina的Windows漏洞的详尽分析,该漏洞利用微软支持诊断工具(MSDT)执行恶意代码,影响广泛,包括完全控制系统。目前已有概念验证代码公开,且微软尚未发布官方补丁。建议用户和管理员采取缓解措施,如禁用MSDT协议,等待官方更新。
通告信息
上周末,独立网络安全研究团队@nao_sec通过社交媒体表示,发现一份从白俄罗斯提交至分析服务网站VirusTotal的恶意微软Word文档,利用远程模板功能并通过“ms-msdt”MSProtocol URI模式执行恶意PowerShell代码。经周末更多与之相关的事态发酵,该漏洞最终被确定为Windows未修补新漏洞。该漏洞若被成功利用后,将导致未经身份验证的远程攻击者控制入侵系统。随后不久,该漏洞公开的概念验证(PoC)代码接踵而至。
该漏洞被称为“Follina”,CVE 编号:CVE-2022-30190,CVSS评分为 7.8(严重)。
该漏洞的名称“Follina”归功于安全研究员Kevin Beaumont。因为他在分析该零日漏洞时发现其中包含引用“0438”的代码,而这恰是意大利Follina的区号,便以此为该漏洞命名。通常,令人震撼的称号意味着其杀伤力不容小觑 —— 例如令人闻风丧胆的Heartbleed,Shellshock和EternalBlue高危漏洞。但幸好,Follina尚不在此列。
与此同时,FortiGuard Labs (FortiGuard全球威胁研究与响应实验室)密切关注 CVE-2022-30190 概念验证(PoC)代码的发布。以求在提高用户对此关键漏洞的认识,并敦促管理员和企业组织快速采取纠正措施,直至 微软发布官方补丁。
| 受影响平台 |
微软Windows |
| 受影响利益方 |
微软Windows用户 |
| 漏洞影响 |
完全控制入侵设备 |
| 漏洞等级 |
严重 |
1
影响评估
该漏洞获得如此高分涵盖诸多原因,其存在于微软支持诊断工具(MSDT)中,而MSDT 是微软提供的一种官方工具,用于收集系统信息并将其发送回微软支持部门以进行问题诊断,例如设备驱动程序、硬件等问题。MSDT目前应用于所有版本的Windows,包括Windows Server OS。截至 2022 年 6 月 6 日,微软尚未提供官方修复程序。因此,未受端点防护软件或缓解策略保护的计算机将很容易受到 Follina 的攻击。
由于概念验证代码已被公开,因此安全研究人员、网络管理员和威胁参与者都能自由使用该代码。如此一来,利用CVE-2022-30190漏洞的恶意攻击预计将在未来几天及几周内激增。
Protected View(受保护视图)是微软Office 中的一项功能,可在禁用宏和其他内容的情况下以只读模式打开 Office 文档,以防止该攻击。然而,据研究人员的报告显示,如果该漏洞将文档转换为富文本格式(RTF)格式,那么只要在Windows资源管理器中预览该文档即可触发该漏洞,并绕过受保护视图功能。在撰写本文时,微软的最新安全公告尚未证实这一点,也未证实这是否为另一个漏洞利用载体。
另一方面,尽管漏洞名称包含“remote(远程)”一词,但攻击却发生在本地,并且需依赖用户交互才能触发攻击行为。微软安全公告也证实了这一点:“漏洞名称中的” remote(远程)“一词指的是攻击者的位置。这种类型的攻击有时也被称为任意代码执行(ACE),攻击本身基于本地进行。
此外,该漏洞已被在野利用。如本文时间轴所示(见时间轴),据报道,2022 年 3 月间已发生了一系列针对菲律宾、尼泊尔和印度的初始攻击活动。俄罗斯和白俄罗斯也向VirusTotal上传了其他文件。这些攻击很可能是针对性攻击,因为所涉及的域名在我们的监控系统中似乎未发现威胁活动。
最低0.47元/天 解锁文章
扫一扫
853
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
