Razlike

Slijede razlike između dviju inačica stranice.

--- racfor_wiki:seminari2023:follina_exploit [2024/01/20 18:40]
fkrajina [Follina exploit (CVE-CVE-2022-30190)]
+++ racfor_wiki:seminari2023:follina_exploit [2024/12/05 12:24] (trenutno)
@@ Redak 2: / Redak 2: @@
 ===== Sažetak =====
-Follina exploit je napad koj omogućava one-click RCE (Remote Code execution) na windows operacijskom sustavu žrtve. Iskorištava ranjivost u MSDT-u (Microsoft Diagnostic Tool) URI shemi.  Kada iskoriste ovu ranjivost, napadači imaju iste ovlasti kao i žrtva na zaraženom računalu. Sve što žrtva treba napraviti je otvoriti zaraženi MS Word dokument (.docx) i napadač gotovo neprimjetno može zavladati njenim računalom. Ranjivost se prvi puta otkrila sredinom 4/2022., a MS je isporučio zakrpu za ovu ranjivost 14.6.2022.
+Follina exploit je napad koji omogućava one-click RCE (Remote Code execution) na windows operacijskom sustavu žrtve. Iskorištava ranjivost u MSDT-u (Microsoft Diagnostic Tool) URI shemi. Kada iskoriste ovu ranjivost, napadači imaju iste ovlasti kao i žrtva na zaraženom računalu. Sve što žrtva treba napraviti je otvoriti zaraženi MS Word dokument (.docx) i napadač gotovo neprimjetno može zavladati njenim računalom. Ranjivost se prvi puta otkrila sredinom 4/2022., a MS je isporučio zakrpu za ovu ranjivost 14.6.2022.
@@ Redak 12: / Redak 12: @@
 ===== Uvod =====
-Živimo u vremenu u kojem su sigurnost podataka, poslovnih ili privatnih, jako vrijedna roba koja uvijek nađe svog kupca. Bilo da neki adolescent želi ugorziti naš računalni sustav radi zabave i dokazivanja ili ozbiljan ATP želi unovčiti vrijednost podataka koje imamo na svojim računalnim sustavima, moramo ovisiti o drugim tvrtkama i inženjerima od kojih kupujemo operacijske sustave, aplikacije, antivirusne programe, mrežni pristup,... Sve su to napravili ljudi koji, koliko god da su stručni u poslu kojeg rade, nisu savršeni. Ova ranjivost zaobišla je umove inženjera Microsoft MSDT alata koji služi za dijagnosticiranje greški na Windows operacijskim sustavima i nanjela veliku štetu žrtvama. Moderni napadi, kao što je i follina, najčešće su posljedica phishing kampanje. Stoga, ne bi trebali otvarati linkove, a pogotovo attachmente iz pošte sa adresa za koje nisu 100% vjerodostojne.
+Follina napad - CVE-2022-30190 dobio je naziv po broju 0438 kojeg je u originalnom kodu malwarea našao Kevin Beaumont koji je prvi otkrio ovaj napad. To je poštanski broj talijanskog gradića Folline.
+Živimo u vremenu u kojem su sigurnost podataka, poslovnih ili privatnih, jako vrijedna roba koja uvijek nađe svog kupca. Bilo da neki adolescent želi ugorziti naš računalni sustav radi zabave i dokazivanja ili ozbiljan APT želi ukrasti podatake koje imamo na svojim računalnim sustavima, moramo ovisiti o drugim tvrtkama i inženjerima od kojih kupujemo operacijske sustave, aplikacije, antivirusne programe, mrežni pristup i ostalo. Sve su to napravili ljudi koji, koliko god da su stručni u poslu kojeg rade, nisu savršeni. Ova ranjivost nije bila registrirana od strane inženjera Microsoft MSDT alata koji služi za dijagnosticiranje greški na Windows operacijskim sustavima i otvorila je vrata pojedincima koji su tu grešku iskoristili.
+Moderni napadi, kao što je i follina, najčešće su posljedica phishing kampanje koja iskorištava nepažnju i naivnost ljudi. Stoga, ne bi trebali otvarati linkove, a pogotovo attachmente iz elektroničke pošte ili drugih oblika komunikacije sa adresa koje nisu 100% vjerodostojne.
+===== Tko je sve ranjiv na ovaj napad? =====
+Do 14.6.2022. gotovo su sve Microsoft aplikacije bile ranjive na ovaj napad uključujući aplikacije iz paketa Office suite 2013, 2016, 2019 i 2021, kao i neke verzije Officea koje su uključene uz Microsoft 365 licencu instaliranu na Windows stolnim računalima i poslužiteljima od 2007. godine. Naravno, pretpostavka je da koristimo Windows OS. Budući da je Microsoft Office najpopularniji poslovni softver za produktivnost na svijetu, očekivani utjecaj bio je visok i globalnog opsega, pogađajući većinu osobnih i korporativnih računalnih okruženja. Aplikacije iz Office paketa su ranjive na Follinu čak i kada su isključene Office VBA makro naredbe, što dodatno proširuje opseg potencijalnih žrtava.
 ===== Follina napad =====
-Follina napad - CVE-2022-30190 dobio je naziv po broju 0438 kojeg je u originalnom kodu malwarea našao Kevin Beaumont koji je prvi otkrio ovaj napad. To je poštanski broj talijanskog gradića Folline.
+==== MSDT (Microsoft Support Diagnostics Tool) ====
-=== MS Office dokument (najčešće Word) sa MSDT URI scheme exploitom ===
+MSDT je alat koji pruža dijagnostičke informacije i analize kako bi korisnička podrška mogla rješavati probleme s Microsoft proizvodima. Ovaj alat omogućava prikupljanje informacija o sustavu, postavkama i problemima koji se pojavljuju na računalu te pomaže tehničkoj podršci u identifikaciji i rješavanju problema. Kao i neke druge Microsoftove aplikacije, možemo je pokrenuti i u tražilici ako u URL upišemo "ms-msdt:". Upravo u takvom načinu poziva se skrivala ranjivost koju ćemo dalje detaljnije opisati
+==== MSDT exploit ====
-Napadač iskorištava mogućnost MS Office-a da prikazuje externe linkove (npr. tablice sa wikipedie) u jednom dokumentu. Postavlja jedan takav link u word/_rels/document.xml.rels XML datoteku koji se poziva ćim se pokrene Word dokument. Taj URL dohvaća HTML u kojem je maliciozan javascript koji iskorištava MSDT URI scheme ranjivost. To znači da možemo izvršiti Powershell komande nakon postavljanja određenih parametara u pozivu.
+{{ :racfor_wiki:seminari2023:ms-follina-exploit-view.jpg?600 |}}
+Napadač iskorištava mogućnost MS Office-a da prikazuje externe web sadržaje(npr. tablice sa wikipedie) u jednom dokumentu. Postavlja jedan takav link u word/_rels/document.xml.rels XML datoteku koji se poziva ćim se pokrene Word dokument. Taj URL dohvaća HTML u kojem je maliciozan javascript koji iskorištava MSDT URI scheme ranjivost. To znači da možemo izvršiti Powershell komande nakon postavljanja određenih parametara u pozivu.
 Maliciozan javascript:
@@ Redak 31: / Redak 43: @@
 '' location.href = "ms-msdt:/id PCWDiagnostic /skip force /param \\"IT_RebrowseForFile=? IT_LaunchMethod=ContextMenu IT_BrowseForFile=$(Invoke-Expression($(Invoke-Expression('[System.Text.Encoding]'+[char]58+[char]58+'UTF8.GetString([System.Convert]'+[char]58+[char]58+'FromBase64String('+[char]34+'{base64_payload}'+[char]34+'))'))))i/../../../../../../../../../../../../../../Windows/System32/mpsigstub.exe\\;''
-Konkretnije, iskorištavamo ranjivost u IT_BrowseForFile parametru, ali nažalost nisam na internetu uspio pronaći zašto to baš tako radi, jer bi MSDT prije nego što se dopusti runnanje koda trebao pitati za šifru koju nam je dao IT support. Svi ovi parametri na neki način zaobilaze tu početnu proceduru.
+Konkretnije, iskorištavamo ranjivost u IT_BrowseForFile parametru koji se ne validira dobro i na koncu omogućava izvršavanje proivoljnih Powershell komandi. Nažalost, informacije na internetu o konkretnoj ranjivosti su dosta šture.
 U "{base64_payload}" ubacimo powershell komande u base64 formatu.
 Kada napadač dobije pristup žrtvinom računalu može raditi što god hoće u skladu sa žrtvinim privilegijama na računalu: može instalirati ransomware, rudatiti kriptovalute, ukrasti podatke, izbrisati ih, može se širiti na druga računala u mreži, dodati računalo u botnet mrežu, itd...
-{{ :racfor_wiki:seminari2023:ms-follina-exploit-view.jpg?600 |}}
+Ovaj napad može biti praktički neprimjetan: u Word dokumentu možemo napisati nekakvu naizgled benignu poruku, dohvatiti maliciozan javascript, pokrenuti msdt, odmah ga ugasiti, pokrenuti cmd u skrivenom načinu rada i raditi što god nas je volja dok god ne uznemirujemo žrtvin antivirusni program.
+Također, ovaj napad može raditi i u zero-click načinu rada: u scenariju gdje je vrsta datoteke RTF (Rich text Format), Windows Explorer će automatski otvoriti datoteku u preview načinu i pokrenuti maliciozan kod. Ovo uklanja jedan sloj zaštite koji bi spriječio slučajno pokretanje sumnjive zlonamjerne datoteke.
-===== Zaključak =====
+===== Zaključak =====
+Možemo zaključiti da MS Office alati još uvijek nisu na sigurnosnom nivou na kakvom bi trebali biti. Ovo nije prva (najvjerojatnije ni zadnja) kritična ranjivost otkrivena u Officeu. Većina laika, a ponekad i nas stručnjaka, misle da ako su dobili datoteku koja na prvu izgleda benigno, kao što je Word, Excel ili PDF datoteka, mogu downloadti i pokrenuti bez straha da je ona maliciozna. Ovaj slučaj, a i još puno drugih ranjivosti, pokazuje da to nije tako. Za svaku datoteku koju dobijemo putem internata, moramo provjeriti vjerodostojnost pošiljatelja, i ako nam netko bez razloga šalje poštu to prijaviti našem email provideru.
 ===== Literatura =====
-[1] [[https://hr.wikipedia.org/wiki/]]
+[1] [[https://innovatecybersecurity.com/security-threat-advisory/follina-zero-day-allows-zero-click-rce-from-office-docs/]]
+[2] [[https://www.blackberry.com/us/en/solutions/endpoint-security/security-vulnerabilities/follina-vulnerability]]
+[3] [[https://www.youtube.com/watch?v=dGCOhORNKRk&t=757sy]]
+[4] [[https://www.hackthebox.com/blog/cve-2022-30190-follina-explained]]

racfor_wiki/seminari2023/follina_exploit.1705776036.txt.gz · Zadnja izmjena: 2024/12/05 12:23 (vanjsko uređivanje)