===== Follina exploit (CVE-2022-30190) ===== ===== Sažetak ===== Follina exploit je napad koji omogućava one-click RCE (Remote Code execution) na windows operacijskom sustavu žrtve. Iskorištava ranjivost u MSDT-u (Microsoft Diagnostic Tool) URI shemi. Kada iskoriste ovu ranjivost, napadači imaju iste ovlasti kao i žrtva na zaraženom računalu. Sve što žrtva treba napraviti je otvoriti zaraženi MS Word dokument (.docx) i napadač gotovo neprimjetno može zavladati njenim računalom. Ranjivost se prvi puta otkrila sredinom 4/2022., a MS je isporučio zakrpu za ovu ranjivost 14.6.2022. ===== Uvod ===== Follina napad - CVE-2022-30190 dobio je naziv po broju 0438 kojeg je u originalnom kodu malwarea našao Kevin Beaumont koji je prvi otkrio ovaj napad. To je poštanski broj talijanskog gradića Folline. Živimo u vremenu u kojem su sigurnost podataka, poslovnih ili privatnih, jako vrijedna roba koja uvijek nađe svog kupca. Bilo da neki adolescent želi ugorziti naš računalni sustav radi zabave i dokazivanja ili ozbiljan APT želi ukrasti podatake koje imamo na svojim računalnim sustavima, moramo ovisiti o drugim tvrtkama i inženjerima od kojih kupujemo operacijske sustave, aplikacije, antivirusne programe, mrežni pristup i ostalo. Sve su to napravili ljudi koji, koliko god da su stručni u poslu kojeg rade, nisu savršeni. Ova ranjivost nije bila registrirana od strane inženjera Microsoft MSDT alata koji služi za dijagnosticiranje greški na Windows operacijskim sustavima i otvorila je vrata pojedincima koji su tu grešku iskoristili. Moderni napadi, kao što je i follina, najčešće su posljedica phishing kampanje koja iskorištava nepažnju i naivnost ljudi. Stoga, ne bi trebali otvarati linkove, a pogotovo attachmente iz elektroničke pošte ili drugih oblika komunikacije sa adresa koje nisu 100% vjerodostojne. ===== Tko je sve ranjiv na ovaj napad? ===== Do 14.6.2022. gotovo su sve Microsoft aplikacije bile ranjive na ovaj napad uključujući aplikacije iz paketa Office suite 2013, 2016, 2019 i 2021, kao i neke verzije Officea koje su uključene uz Microsoft 365 licencu instaliranu na Windows stolnim računalima i poslužiteljima od 2007. godine. Naravno, pretpostavka je da koristimo Windows OS. Budući da je Microsoft Office najpopularniji poslovni softver za produktivnost na svijetu, očekivani utjecaj bio je visok i globalnog opsega, pogađajući većinu osobnih i korporativnih računalnih okruženja. Aplikacije iz Office paketa su ranjive na Follinu čak i kada su isključene Office VBA makro naredbe, što dodatno proširuje opseg potencijalnih žrtava. ===== Follina napad ===== ==== MSDT (Microsoft Support Diagnostics Tool) ==== MSDT je alat koji pruža dijagnostičke informacije i analize kako bi korisnička podrška mogla rješavati probleme s Microsoft proizvodima. Ovaj alat omogućava prikupljanje informacija o sustavu, postavkama i problemima koji se pojavljuju na računalu te pomaže tehničkoj podršci u identifikaciji i rješavanju problema. Kao i neke druge Microsoftove aplikacije, možemo je pokrenuti i u tražilici ako u URL upišemo "ms-msdt:". Upravo u takvom načinu poziva se skrivala ranjivost koju ćemo dalje detaljnije opisati ==== MSDT exploit ==== {{ :racfor_wiki:seminari2023:ms-follina-exploit-view.jpg?600 |}} Napadač iskorištava mogućnost MS Office-a da prikazuje externe web sadržaje(npr. tablice sa wikipedie) u jednom dokumentu. Postavlja jedan takav link u word/_rels/document.xml.rels XML datoteku koji se poziva ćim se pokrene Word dokument. Taj URL dohvaća HTML u kojem je maliciozan javascript koji iskorištava MSDT URI scheme ranjivost. To znači da možemo izvršiti Powershell komande nakon postavljanja određenih parametara u pozivu. Maliciozan javascript: '' location.href = "ms-msdt:/id PCWDiagnostic /skip force /param \\"IT_RebrowseForFile=? IT_LaunchMethod=ContextMenu IT_BrowseForFile=$(Invoke-Expression($(Invoke-Expression('[System.Text.Encoding]'+[char]58+[char]58+'UTF8.GetString([System.Convert]'+[char]58+[char]58+'FromBase64String('+[char]34+'{base64_payload}'+[char]34+'))'))))i/../../../../../../../../../../../../../../Windows/System32/mpsigstub.exe\\;'' Konkretnije, iskorištavamo ranjivost u IT_BrowseForFile parametru koji se ne validira dobro i na koncu omogućava izvršavanje proivoljnih Powershell komandi. Nažalost, informacije na internetu o konkretnoj ranjivosti su dosta šture. U "{base64_payload}" ubacimo powershell komande u base64 formatu. Kada napadač dobije pristup žrtvinom računalu može raditi što god hoće u skladu sa žrtvinim privilegijama na računalu: može instalirati ransomware, rudatiti kriptovalute, ukrasti podatke, izbrisati ih, može se širiti na druga računala u mreži, dodati računalo u botnet mrežu, itd... Ovaj napad može biti praktički neprimjetan: u Word dokumentu možemo napisati nekakvu naizgled benignu poruku, dohvatiti maliciozan javascript, pokrenuti msdt, odmah ga ugasiti, pokrenuti cmd u skrivenom načinu rada i raditi što god nas je volja dok god ne uznemirujemo žrtvin antivirusni program. Također, ovaj napad može raditi i u zero-click načinu rada: u scenariju gdje je vrsta datoteke RTF (Rich text Format), Windows Explorer će automatski otvoriti datoteku u preview načinu i pokrenuti maliciozan kod. Ovo uklanja jedan sloj zaštite koji bi spriječio slučajno pokretanje sumnjive zlonamjerne datoteke. ===== Zaključak ===== Možemo zaključiti da MS Office alati još uvijek nisu na sigurnosnom nivou na kakvom bi trebali biti. Ovo nije prva (najvjerojatnije ni zadnja) kritična ranjivost otkrivena u Officeu. Većina laika, a ponekad i nas stručnjaka, misle da ako su dobili datoteku koja na prvu izgleda benigno, kao što je Word, Excel ili PDF datoteka, mogu downloadti i pokrenuti bez straha da je ona maliciozna. Ovaj slučaj, a i još puno drugih ranjivosti, pokazuje da to nije tako. Za svaku datoteku koju dobijemo putem internata, moramo provjeriti vjerodostojnost pošiljatelja, i ako nam netko bez razloga šalje poštu to prijaviti našem email provideru. ===== Literatura ===== [1] [[https://innovatecybersecurity.com/security-threat-advisory/follina-zero-day-allows-zero-click-rce-from-office-docs/]] [2] [[https://www.blackberry.com/us/en/solutions/endpoint-security/security-vulnerabilities/follina-vulnerability]] [3] [[https://www.youtube.com/watch?v=dGCOhORNKRk&t=757sy]] [4] [[https://www.hackthebox.com/blog/cve-2022-30190-follina-explained]]