Nedávno objevená zero-day zranitelnost systému Windows se stále objevuje ve zprávách, jelikož aktéři hrozeb po celém světě neúnavně usilují o její zneužití. Zranitelnost, nazvanou Follina, lze zneužít, pokud je diagnostický nástroj Microsoft Support Diagnostic Tool (MSDT) volán aplikací Microsoft Office pomocí protokolu URL.
Jaký je její dopad?
Zneužití této zranitelnosti, vedené jako CVE-2022-30190, umožňuje útočníkovi spustit libovolný kód při otevření nebo pouhém náhledu dokumentu aplikace Word na cílovém počítači. Jakmile se tak stane, může útočník spustit příkazy PowerShell a instalovat programy, zobrazovat, měnit nebo mazat data, nebo dokonce vytvářet nové účty.
S hodnocením 7,8 spadá Follina do kategorie „vysoké“ závažnosti. Závažnější je, že nástroj MSDT, který shromažďuje a odesílá diagnostická data na podporu společnosti Microsoft k analýze, se nachází ve všech verzích operačních systémů Windows a Windows Server. To znamená, že bez strategie zmírnění jsou všechny počítače se systémem Windows potenciálním cílem.
Společnost Microsoft sice zranitelnost uznala a navrhla řešení, jak zmírnit její dopad, ale oficiální záplatu, která by tuto chybu řešila, nevydala (k 13. červnu 2022).
Jak odhalit zranitelnost Follina
Jedním ze způsobů, jak odhalit možné zneužití této zranitelnosti, je sledování procesů nadřízených a podřízených spuštěných v prostředí. Pokud máte řešení, které kontroluje procesy systému Windows, můžete jej nakonfigurovat tak, aby:
- Vyhledalo systémy, které spouštějí msdt.exe jako podřízený proces WINWORD.EXE, EXCEL.EXE, OUTLOOK.EXE nebo POWERPNT.EXE.
- Pokud máte povoleno auditování příkazového řádku, hledejte IT_BrowseForFile, IT_LaunchMethod a IT_RebrowseForFile, protože se nejedná o běžné parametry.
Existují nějaká řešení?
Společnost Microsoft v rámci svého supportu navrhla jako řešení pro zmírnění této zranitelnosti vypnutí protokolu MSDT URL.
Postup vypnutí protokolu MSDT URL:
- Spusťte příkazový řádek jako správce.
- Spusťte následující příkaz pro zálohování klíče registru:
reg export HKEY_CLASSES_ROOT\ms-msdt <název souboru> - Poté spusťte níže uvedený příkaz:
reg delete HKEY_CLASSES_ROOT\ms-msdt /f
Zrušení tohoto řešení:
- Spusťte příkazový řádek jako správce.
- Pro obnovení klíče registru spusťte následující příkaz:
reg import <jméno souboru>
Jak Vám ManageEngine ADAudit Plus může pomoci odhalit zranitelnost Follina?
Pomocí zpráv o sledování procesů aplikace ADAudit Plus můžete ověřit, zda je Vaše prostředí vystaveno riziku CVE-2022-30190, a spustit upozornění v reálném čase, kdykoli je zjištěn pokus o zneužití.
Kontrola napadených počítačů pomocí reportů o sledování procesů
Aplikace ADAudit Plus automaticky zapíná zásadu „Auditovat vytváření procesů“, která umožňuje sledovat aktivitu vytváření procesů. Abyste však předešli falešně pozitivním výsledkům, měli byste povolit auditování procesů v příkazovém řádku a zajistit, aby událost vytvoření procesu (Event ID 4688) obsahovala informace o názvu spustitelného souboru a předaných argumentech.
Povolení auditu procesu příkazového řádku:
- Přihlaste se k serveru se spuštěným nástrojem ADAudit Plus a otevřete Group Policy Management Console.
- V objektech GPO spojených s doménou identifikujte objekt GPO ADAuditPlusMSPolicy, klikněte na něj pravým tlačítkem myši a vyberte možnost Edit.
- V Editoru zásad skupiny přejděte do části Computer Configuration > Policies > Administrative Templates > System > Audit Process Creation.
- Klikněte pravým tlačítkem myši na Include command line in process creation events a vyberte možnost Edit.
- V okně Include command line in process creation events window zaškrtněte políčko Enable a klikněte na tlačítko OK.
Jakmile je výše uvedené nastavení GPO povoleno, budou se v hlášeních sledování procesů aplikace ADAudit Plus zobrazovat události související s možnými zneužitími Follina.
Kontrola postižených počítačů:
- Přihlaste se do webové konzole ADAudit Plus.
- Přejděte do Server Audit > Process Tracking > New Process Created.
- V sestavě klikněte na tlačítko Advanced Search a přidejte příslušná pravidla odpovídající vašemu prostředí.
Pokud jste ve svém prostředí již dříve povolili auditování procesů CMD, můžete zkontrolovat, zda jsou počítače postiženy, přidáním sady pravidel zobrazených na obrázku níže:
[ [ “File Name” Ends With “msdt.exe” ] AND [ “Process Command Line” Contains “ms-msdt:-id” OR “Process Command Line” Contains “ms-msdt:/id” ] AND [ “Process Command Line” Contains “PCWDiagnostic” ] AND [ “Process Command Line” Contains “IT_BrowserForFile” OR “Process Command Line” Contains “IT_LaunchMethod” OR “Process Command Line” Contains “IT_RebrowseForFile” ] AND [ “Process Command Line” Contains “//” OR “Process Command Line” Contains “./” OR “Process Command Line” Contains “/.” OR “Process Command Line” Contains “../” ] AND [ “Creator Process Name” Ends With “WINWORD.EXE” OR “Creator Process Name” Ends With “EXCEL.EXE” OR “Creator Process Name” Ends With “OUTLOOK.EXE” OR “Creator Process Name” Ends With “POWERPNT.EXE” ] ]
Pokud jste ve svém prostředí dříve nepovolili auditování procesů CMD, můžete zkontrolovat, zda jsou počítače postiženy, přidáním níže uvedené sady pravidel:
[ [ “File Name” Contains “msdt.exe” ] AND [ “Creator Process Name” Ends With “WINWORD.EXE” OR “Creator Process Name” Ends With “EXCEL.EXE” OR “Creator Process Name” Ends With “OUTLOOK.EXE” OR “Creator Process Name” Ends With “POWERPNT.EXE” ] ]
Poznámka: Vzhledem k tomu, že informace týkající se názvu spustitelného souboru a předaných argumentů nebudou v události ID 4688 k dispozici, pokud není povoleno auditování procesů příkazového řádku, mohou hlášení vyplývající ze sady pravidel na výše uvedeném obrázku vykazovat falešnou pozitivitu.
Po přidání pravidel klikněte na Search – zobrazí se seznam počítačů postižených touto chybou zabezpečení.
Nastavení upozornění v reálném čase pro detekci budoucích zneužití Folliny pomocí nástroje ADAudit Plus
Pomocí nástroje ADAudit Plus můžete také nakonfigurovat profily alertů pro upozornění v reálném čase.
Vytvoření profilu upozornění:
- Přihlaste se do webové konzole ADAudit Plus.
- Přejděte do Configuration > Alert Profiles > Create Alert Profile.
- Zadejte vhodný název a popis profilu výstrahy a vyberte jeho závažnost.
- V poli Category (Kategorie) vyberte možnost All (Vše) a klikněte na symbol „+“ vpravo.
- Na vyskakovací obrazovce vyberte svou Doménu, v rozevíracím seznamu Category vyberte možnost All, klikněte na tlačítko Search, zadejte “Process Tracking” a stiskněte klávesu Enter.
- Zaškrtněte políčko Process Tacking pro profil sestavy vybrané domény a klikněte na tlačítko OK.
- Zadejte vhodnou Alert Message.
- V části Advanced Configuration vyberte možnost Filtr, klikněte na tlačítko Add filtr a přidejte vhodná pravidla odpovídající vašemu prostředí.
Pokud jste ve svém prostředí dříve povolili auditování procesů příkazového řádku, přidejte sadu pravidel zobrazenou na obrázku níže:
Pokud jste ve svém prostředí dříve nepovolili auditování procesů příkazového řádku, přidejte sadu pravidel zobrazenou na obrázku níže:
Poznámka: Vzhledem k tomu, že informace týkající se názvu spustitelného souboru a předaných argumentů nebudou v události ID 4688 k dispozici, pokud není povoleno auditování procesů příkazového řádku, mohou hlášení vyplývající ze sady pravidel na výše uvedeném obrázku vykazovat falešnou pozitivitu.
- V části Alert Actions vyberte, jakým způsobem chcete přijímat výstražné zprávy (oznámení SMS nebo e-mail), a nakonfigurujte odpovídající nastavení.
- Klepněte na tlačítko Save.
O aplikaci ManageEngine ADAudit Plus
ADAudit Plus je řešení pro auditování změn v reálném čase, které pomáhá udržovat Active Directory, Azure AD, souborové servery, servery Windows a pracovní stanice v bezpečí a v souladu se standardy.
