CVE-2022-30190 megértése – Távoli kódfuttatási sérülékenység a Microsoft Support Diagnostic Tool (MSDT) komponensben

Üdvözlünk! Ebben a bejegyzésben egy kritikus biztonsági hibát vizsgálunk meg, CVE-2022-30190 azonosítóval. Ez a sérülékenység lehetővé teszi, hogy egy támadó tetszőleges kódot futtasson le a hívó alkalmazás jogosultságaival.

Mi ez a sérülékenység?

A CVE-2022-30190, ismertebb nevén Follina, egy távoli kódfuttatási (RCE) sérülékenység, amely akkor fordul elő, ha a Microsoft Support Diagnostic Tool (MSDT) URL-protokollon keresztül kerül meghívásra egy alkalmazásból (például Word). A sérülékenység kihasználásával a támadó programokat telepíthet, adatokat módosíthat, vagy új felhasználói fiókokat hozhat létre – mindezt a felhasználó jogosultságaival.

Hogyan működik?

A támadó egy rosszindulatú, speciálisan kialakított dokumentumot küld az áldozatnak. Amikor a felhasználó megnyitja a dokumentumot, az ms-msdt: URL-meghíváson keresztül aktiválódik az MSDT, amely a DDE (Dynamic Data Exchange) protokollt használja. A sérülékeny komponens feldolgozza a kérést, és lehetővé teszi tetszőleges kód végrehajtását a rendszeren.

Kik érintettek?

Bármely olyan Windows rendszer, amelyen Microsoft Office van telepítve és amely képes kezelni az ms-msdt: URL-eket, potenciálisan sérülékeny. Ez magában foglalja:

• Microsoft Office 2010 és újabb verziók
• Microsoft Exchange Server 2010 SP3 és újabb verziók

Enyhítési lépések

A Microsoft kiadott egy biztonsági frissítést a hiba javítására. A sérülékenység megelőzésére ajánlott lépések:

1. Frissítés:
   Látogasd meg a Microsoft Update Katalógust, vagy használd a beépített Windows Update funkciót a frissítések telepítéséhez.

2. Az ms-msdt: URL-kezelés letiltása Office-alkalmazásokban:

   • Nyisd meg bármelyik Office alkalmazást (Word, Excel, PowerPoint).
   • Kattints a Fájl menüre, majd válaszd az Opciók menüpontot.
   • Lépj az Speciális fülre.
   • A Biztonság szekcióban töröld a pipát a következő opció elől:
     „Hivatkozások engedélyezése olvasási módban megnyitott Word, Excel és PowerPoint fájlokban.”

Hivatkozott források

• Microsoft MSRC bejegyzés
• GitHub – Follina Exploit PoC: Hrishikesh7665
• GitHub – Follina Exploit PoC: drgreenthumb93
• GitHub – FollinaScanner by ErrorNoInternet

Források

• https://cveawg.mitre.org/api/cve/CVE-2022-30190
• https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-30190
• https://github.com/drgreenthumb93/CVE-2022-30190-follina