A Windows nemrégiben felfedezett nulladik napi sebezhetősége továbbra is hírt ad magáról, mivel a fenyegetést szerte a világon könyörtelenül igyekeznek kihasználni. A Follina névre keresztelt sebezhetőség akkor aknázható ki, ha a Microsoft Support Diagnostic Tool (MSDT) egy Microsoft Office alkalmazás meghívja az URL protokollt használva.
Mi a hatása?
A CVE-2022-30190 jelzésű biztonsági rést kihasználva a támadó tetszőleges kódot futtathat, amikor egy Word-dokumentumot megnyitnak vagy egyszerűen megtekintenek egy célszámítógépen. Ha ez megtörtént, a támadó PowerShell-parancsokat hajthat végre programok telepítéséhez, adatok megtekintéséhez, módosításához vagy törléséhez, vagy akár új fiókok létrehozásához.
7,8-as besorolásával a Follina a “magas” súlyossági kategóriába tartozik. Súlyosabbá teszi a helyzetet, hogy az MSDT eszköz, amely diagnosztikai adatokat gyűjt és küld a Microsoft támogatásának elemzés céljából, minden Windows és Windows Server OS verzióban megtalálható. Ez azt jelenti, hogy enyhítő stratégia nélkül minden Windows-gép potenciális célpontja lehet azoknak a rossz szereplőknek, akik megpróbálják kihasználni ezt a biztonsági rést.
Noha a Microsoft elismerte a sebezhetőséget, és megkerülő megoldásokat javasolt hatásainak enyhítésére, nem adott ki hivatalos javítást a hiba orvoslására (2022. június 13-án).
Hogyan lehet felismerni a Follina kizsákmányolásait
A környezetében futó szülő-gyermek folyamatok figyelése az egyik módja a biztonsági rés esetleges kezelésének, észlelésének. Ha rendelkezik olyan megoldással, amely ellenőrzi a Windows folyamatait, beállíthatja a következőkre:
- Keresse meg az msdt.exe fájlt a WINWORD.EXE, EXCEL.EXE, OUTLOOK.EXE vagy POWERPNT.EXE gyermekfolyamataiként létrehozó rendszereket.
- Keresse meg az IT_BrowseForFile, IT_LaunchMethod és IT_RebrowseForFile paramétereket, ha engedélyezve van a parancssori naplózás, mivel ezek nem általános paraméterek.
Vannak megoldások?
Tanácsának részeként a Microsoft az MSDT URL protokoll letiltását javasolta megoldásként a biztonsági rés enyhítésére.
Az MSDT URL protokoll letiltása:
1. Futtassa a parancssort rendszergazdaként.
2. Hajtsa végre a következő parancsot a rendszerleíró kulcs biztonsági mentéséhez:
reg export HKEY_CLASSES_ROOT\ms-msdt <fájlnév>
3. Ezután hajtsa végre az alábbi parancsot:
reg törlése HKEY_CLASSES_ROOT\ms-msdt /f
A kerülő megoldás visszavonásához:
1. Futtassa a parancssort rendszergazdaként.
2. Hajtsa végre a következő parancsot a beállításkulcs visszaállításához:
reg import <fájlnév>
Hogyan segíthet a ManageEngine ADAudit Plus a Follina kizsákmányolásainak észlelésében
Az ADAudit Plus exkluzív folyamatkövetési jelentései segítségével ellenőrizheti, hogy környezete ki van-e téve a CVE-2022-30190-nek, és valós idejű riasztásokat indíthat el, amikor a rendszer kihasználási kísérletet észlel.
Ellenőrizze az érintett számítógépeket a Process Tracking jelentésekkel
Az ADAudit Plus automatikusan engedélyezi a „Folyamatok ellenőrzése” házirendet, amely lehetővé teszi a folyamatlétrehozási tevékenység nyomon követését. A fals pozitív elkerülése érdekében azonban engedélyeznie kell a parancssori folyamatnaplózást, hogy biztosítsa, hogy a folyamatlétrehozási esemény (4688-as eseményazonosító) tartalmazzon információkat a végrehajtható fájl nevéről és az átadott argumentumokról.
A parancssori folyamatnaplózás engedélyezése:
- Jelentkezzen be az ADAudit Plust futtató kiszolgálóra, és nyissa meg a Csoportházirend-kezelő konzolt.
- A tartományhoz kapcsolt csoportházirend-objektumokból azonosítsa az ADAuditPlusMSPolicy csoportházirend-objektumot, kattintson rá jobb gombbal, és válassza a Szerkesztés parancsot.
- A Csoportházirend-szerkesztőben lépjen a Számítógép konfigurációja > Házirendek > Felügyeleti sablonok > Rendszer > Folyamatnaplózás létrehozása elemre.
- Kattintson jobb gombbal a Parancssor felvétele a folyamatlétrehozási eseményekbe beállításra, és válassza a Szerkesztés parancsot.
- A Parancssor felvétele a folyamatlétrehozási eseményekbe ablakban jelölje be az Engedélyezve lehetőséget, majd kattintson az OK gombra.
Ha a fenti csoportházirend-beállítás engedélyezve van, az ADAudit Plus folyamatkövetési jelentései megjelenítik a lehetséges Follina kizsákmányolásokhoz kapcsolódó eseményeket.
Az érintett számítógépek ellenőrzése:
- Jelentkezzen be ADAudit Plus webkonzoljába.
- Lépjen a Kiszolgálónapló > Folyamatkövetés > Új folyamat létrehozva elemre.
- A jelentésben kattintson a Speciális keresés lehetőségre, és adja hozzá a környezetének megfelelő szabályokat.
o Ha korábban engedélyezte a parancssori folyamatnaplózást a környezetében, az alábbi képen látható szabálykészlet hozzáadásával ellenőrizheti az érintett számítógépeket:
[ [ “Fájlnév” végződése “msdt.exe” ] ÉS [ “Feldolgozási parancssor” Tartalma: “ms-msdt:-id” VAGY “Feldolgozási parancssor” Tartalma: “ms-msdt:/id” ] ÉS [ “Feldolgozás” A Command Line” a következőt tartalmazza: „PCWDiagnostic” ] ÉS [ „Process Command Line” Tartalma: „IT_BrowserForFile” VAGY „Process Command Line” Tartalma: „IT_LaunchMethod” VAGY „Process Command Line” Tartalma: „IT_RebrowseForFile” Commands [Process ] /” VAGY „Feldolgozás parancssora” Tartalmazza „./” VAGY „Process Command Line” A „/” karaktert tartalmazza. VAGY A „Feldolgozás parancssora” a következőt tartalmazza: „../” ] ÉS [ „A létrehozási folyamat neve” „WINWORD.EXE”-re végződik VAGY „Létrehozói folyamat neve” „EXCEL.EXE”-re, VAGY „Létrehozói folyamat neve” „OUTLOOK”-ra végződik. .EXE” VAGY „Létrehozói folyamat neve” a következővel végződik: „POWERPNT.EXE” ] ]
o Ha korábban nem engedélyezte a parancssori folyamatnaplózást a környezetében, az alábbi szabályok hozzáadásával ellenőrizheti az érintett számítógépeket:
[ [ “Fájlnév” Tartalmazza “msdt.exe” ] ÉS [ A “Létrehozói folyamat neve” “WINWORD.EXE”-re, VAGY “Létrehozói folyamat neve” “EXCEL.EXE”-re, VAGY “Létrehozói folyamat neve” “OUTLOOK”-ra végződik. .EXE” VAGY „Létrehozói folyamat neve” a következővel végződik: „POWERPNT.EXE” ] ]
Megjegyzés: Mivel a végrehajtható fájl nevével és az átadott argumentumokkal kapcsolatos információk nem lesznek elérhetők a 4688-as azonosítójú eseménynél, amikor a parancssori folyamatnaplózás nincs engedélyezve, a fenti képen látható szabálykészletből származó jelentések téves pozitív értékeket jelezhetnek.
4. Miután hozzáadta a szabályokat, kattintson a Keresés gombra, és meg fogja találni a biztonsági rés által érintett számítógépek listáját.
Állítson be valós idejű riasztásokat a Follina jövőbeli kizsákmányolásának észleléséhez az ADAudit Plus segítségével.
Az ADAudit Plus segítségével a riasztási profilokat úgy is beállíthatja, hogy valós idejű riasztásokat kapjanak, ha a jövőben a biztonsági réshez kapcsolódó események naplózásra kerülnek.
Riasztási profil létrehozása:
1. Jelentkezzen be ADAudit Plus webkonzoljába.
2. Lépjen a Konfiguráció > Riasztási profilok > Riasztási profil létrehozása menüpontra.
3. Adjon meg egy megfelelő nevet és leírást a riasztási profilhoz, és válassza ki a súlyosságát.
4. A Kategória mezőben válassza az Összes lehetőséget, és kattintson a jobb oldalon található „+” szimbólumra.
5. A felugró képernyőn válassza ki a Domaint, a Kategória legördülő listában válassza az Összes lehetőséget, kattintson a Keresés gombra, írja be a „Folyamatkövetés” kifejezést, és nyomja meg az Enter billentyűt.
6. Ellenőrizze a Process Tacking lehetőséget a <selected> tartomány jelentésprofiljához, majd kattintson az OK gombra.
7. Írjon be egy megfelelő figyelmeztető üzenetet.
8. A Speciális konfiguráció részben válassza a Szűrő lehetőséget, kattintson a Szűrő hozzáadása gombra, és adja hozzá a környezetének megfelelő szabályokat.
o Ha korábban engedélyezte a parancssori folyamatnaplózást a környezetében, adja hozzá az alábbi képen látható szabálykészletet:
o Ha korábban nem engedélyezte a parancssori folyamatnaplózást a környezetében, adja hozzá az alábbi képen látható szabálykészletet:
Megjegyzés: Mivel a végrehajtható fájl nevével és az átadott argumentumokkal kapcsolatos információk nem lesznek elérhetők a 4688-as azonosítójú eseménynél, amikor a parancssori folyamatnaplózás nincs engedélyezve, a fenti képen látható szabálykészletből származó jelentések téves pozitív értékeket jelezhetnek.
9. A Riasztási műveletek részben válassza ki, hogyan szeretné megkapni a figyelmeztető üzenetet (SMS vagy e-mail értesítések), és konfigurálja a megfelelő beállításokat.
10. Kattintson a Mentés gombra.
Sikeresen beállította a riasztásokat, hogy azonnali SMS-t vagy e-mailt kapjon, ha potenciális kihasználási kísérletet észlel.
A ManageEngine ADAudit Plus-ról
Az ADAudit Plus egy valós idejű változásnaplózási megoldás, amely segít megőrizni az Active Directory, az Azure AD, a fájlkiszolgálók, a Windows-kiszolgálók és a munkaállomások biztonságát és megfelelőségét. Tudjon meg többet az ADAudit Plus-ról és az általa kínált lehetőségekről.
forrás: ManageEngine
2022 július 26
Szerző: Orosz-Rizák Gergely
Kategória: Cikk Hírek