2022 július 26

Szerző: Orosz-Rizák Gergely

Kategória: Cikk, Hírek

A Windows nemrégiben felfedezett nulladik napi sebezhetősége továbbra is hírt ad magáról, mivel a fenyegetést szerte a világon könyörtelenül igyekeznek kihasználni. A Follina névre keresztelt sebezhetőség akkor aknázható ki, ha a Microsoft Support Diagnostic Tool (MSDT) egy Microsoft Office alkalmazás meghívja az URL protokollt használva.

 

Mi a hatása?

A CVE-2022-30190 jelzésű biztonsági rést kihasználva a támadó tetszőleges kódot futtathat, amikor egy Word-dokumentumot megnyitnak vagy egyszerűen megtekintenek egy célszámítógépen. Ha ez megtörtént, a támadó PowerShell-parancsokat hajthat végre programok telepítéséhez, adatok megtekintéséhez, módosításához vagy törléséhez, vagy akár új fiókok létrehozásához.

 

7,8-as besorolásával a Follina a “magas” súlyossági kategóriába tartozik. Súlyosabbá teszi a helyzetet, hogy az MSDT eszköz, amely diagnosztikai adatokat gyűjt és küld a Microsoft támogatásának elemzés céljából, minden Windows és Windows Server OS verzióban megtalálható. Ez azt jelenti, hogy enyhítő stratégia nélkül minden Windows-gép potenciális célpontja lehet azoknak a rossz szereplőknek, akik megpróbálják kihasználni ezt a biztonsági rést.

 

Noha a Microsoft elismerte a sebezhetőséget, és megkerülő megoldásokat javasolt hatásainak enyhítésére, nem adott ki hivatalos javítást a hiba orvoslására (2022. június 13-án).

Hogyan lehet felismerni a Follina kizsákmányolásait

A környezetében futó szülő-gyermek folyamatok figyelése az egyik módja a biztonsági rés esetleges kezelésének, észlelésének. Ha rendelkezik olyan megoldással, amely ellenőrzi a Windows folyamatait, beállíthatja a következőkre:

  1. Keresse meg az msdt.exe fájlt a WINWORD.EXE, EXCEL.EXE, OUTLOOK.EXE vagy POWERPNT.EXE gyermekfolyamataiként létrehozó rendszereket.

  2. Keresse meg az IT_BrowseForFile, IT_LaunchMethod és IT_RebrowseForFile paramétereket, ha engedélyezve van a parancssori naplózás, mivel ezek nem általános paraméterek.

Vannak megoldások?

Tanácsának részeként a Microsoft az MSDT URL protokoll letiltását javasolta megoldásként a biztonsági rés enyhítésére.


Az MSDT URL protokoll letiltása:
1. Futtassa a parancssort rendszergazdaként.

2. Hajtsa végre a következő parancsot a rendszerleíró kulcs biztonsági mentéséhez:
reg export HKEY_CLASSES_ROOT\ms-msdt <fájlnév>

3. Ezután hajtsa végre az alábbi parancsot:
reg törlése HKEY_CLASSES_ROOT\ms-msdt /f

A kerülő megoldás visszavonásához:
1. Futtassa a parancssort rendszergazdaként.

2. Hajtsa végre a következő parancsot a beállításkulcs visszaállításához:
reg import <fájlnév>

Hogyan segíthet a ManageEngine ADAudit Plus a Follina kizsákmányolásainak észlelésében

Az ADAudit Plus exkluzív folyamatkövetési jelentései segítségével ellenőrizheti, hogy környezete ki van-e téve a CVE-2022-30190-nek, és valós idejű riasztásokat indíthat el, amikor a rendszer kihasználási kísérletet észlel.

Ellenőrizze az érintett számítógépeket a Process Tracking jelentésekkel

Az ADAudit Plus automatikusan engedélyezi a „Folyamatok ellenőrzése” házirendet, amely lehetővé teszi a folyamatlétrehozási tevékenység nyomon követését. A fals pozitív elkerülése érdekében azonban engedélyeznie kell a parancssori folyamatnaplózást, hogy biztosítsa, hogy a folyamatlétrehozási esemény (4688-as eseményazonosító) tartalmazzon információkat a végrehajtható fájl nevéről és az átadott argumentumokról.

A parancssori folyamatnaplózás engedélyezése:

  1. Jelentkezzen be az ADAudit Plust futtató kiszolgálóra, és nyissa meg a Csoportházirend-kezelő konzolt.

  2. A tartományhoz kapcsolt csoportházirend-objektumokból azonosítsa az ADAuditPlusMSPolicy csoportházirend-objektumot, kattintson rá jobb gombbal, és válassza a Szerkesztés parancsot.

  3. A Csoportházirend-szerkesztőben lépjen a Számítógép konfigurációja > Házirendek > Felügyeleti sablonok > Rendszer > Folyamatnaplózás létrehozása elemre.

  4. Kattintson jobb gombbal a Parancssor felvétele a folyamatlétrehozási eseményekbe beállításra, és válassza a Szerkesztés parancsot.

  5. A Parancssor felvétele a folyamatlétrehozási eseményekbe ablakban jelölje be az Engedélyezve lehetőséget, majd kattintson az OK gombra.

Ha a fenti csoportházirend-beállítás engedélyezve van, az ADAudit Plus folyamatkövetési jelentései megjelenítik a lehetséges Follina kizsákmányolásokhoz kapcsolódó eseményeket.

Az érintett számítógépek ellenőrzése:

  1. Jelentkezzen be ADAudit Plus webkonzoljába.

  2. Lépjen a Kiszolgálónapló > Folyamatkövetés > Új folyamat létrehozva elemre.

  3. A jelentésben kattintson a Speciális keresés lehetőségre, és adja hozzá a környezetének megfelelő szabályokat.

o Ha korábban engedélyezte a parancssori folyamatnaplózást a környezetében, az alábbi képen látható szabálykészlet hozzáadásával ellenőrizheti az érintett számítógépeket:

kiszolgáló audit lap

[ [ “Fájlnév” végződése “msdt.exe” ] ÉS [ “Feldolgozási parancssor” Tartalma: “ms-msdt:-id” VAGY “Feldolgozási parancssor” Tartalma: “ms-msdt:/id” ] ÉS [ “Feldolgozás” A Command Line” a következőt tartalmazza: „PCWDiagnostic” ] ÉS [ „Process Command Line” Tartalma: „IT_BrowserForFile” VAGY „Process Command Line” Tartalma: „IT_LaunchMethod” VAGY „Process Command Line” Tartalma: „IT_RebrowseForFile” Commands [Process ] /” VAGY „Feldolgozás parancssora” Tartalmazza „./” VAGY „Process Command Line” A „/” karaktert tartalmazza. VAGY A „Feldolgozás parancssora” a következőt tartalmazza: „../” ] ÉS [ „A létrehozási folyamat neve” „WINWORD.EXE”-re végződik VAGY „Létrehozói folyamat neve” „EXCEL.EXE”-re, VAGY „Létrehozói folyamat neve” „OUTLOOK”-ra végződik. .EXE” VAGY „Létrehozói folyamat neve” a következővel végződik: „POWERPNT.EXE” ] ]

o Ha korábban nem engedélyezte a parancssori folyamatnaplózást a környezetében, az alábbi szabályok hozzáadásával ellenőrizheti az érintett számítógépeket:

Új folyamat létrehozása

[ [ “Fájlnév” Tartalmazza “msdt.exe” ] ÉS [ A “Létrehozói folyamat neve” “WINWORD.EXE”-re, VAGY “Létrehozói folyamat neve” “EXCEL.EXE”-re, VAGY “Létrehozói folyamat neve” “OUTLOOK”-ra végződik. .EXE” VAGY „Létrehozói folyamat neve” a következővel végződik: „POWERPNT.EXE” ] ]

 

Megjegyzés: Mivel a végrehajtható fájl nevével és az átadott argumentumokkal kapcsolatos információk nem lesznek elérhetők a 4688-as azonosítójú eseménynél, amikor a parancssori folyamatnaplózás nincs engedélyezve, a fenti képen látható szabálykészletből származó jelentések téves pozitív értékeket jelezhetnek.

 

4. Miután hozzáadta a szabályokat, kattintson a Keresés gombra, és meg fogja találni a biztonsági rés által érintett számítógépek listáját.

 

Állítson be valós idejű riasztásokat a Follina jövőbeli kizsákmányolásának észleléséhez az ADAudit Plus segítségével.

 

Az ADAudit Plus segítségével a riasztási profilokat úgy is beállíthatja, hogy valós idejű riasztásokat kapjanak, ha a jövőben a biztonsági réshez kapcsolódó események naplózásra kerülnek.

 

Riasztási profil létrehozása:
1. Jelentkezzen be ADAudit Plus webkonzoljába.

2. Lépjen a Konfiguráció > Riasztási profilok > Riasztási profil létrehozása menüpontra.

3. Adjon meg egy megfelelő nevet és leírást a riasztási profilhoz, és válassza ki a súlyosságát.

4. A Kategória mezőben válassza az Összes lehetőséget, és kattintson a jobb oldalon található „+” szimbólumra.

5. A felugró képernyőn válassza ki a Domaint, a Kategória legördülő listában válassza az Összes lehetőséget, kattintson a Keresés gombra, írja be a „Folyamatkövetés” kifejezést, és nyomja meg az Enter billentyűt.

6. Ellenőrizze a Process Tacking lehetőséget a <selected> tartomány jelentésprofiljához, majd kattintson az OK gombra.

7. Írjon be egy megfelelő figyelmeztető üzenetet.

8. A Speciális konfiguráció részben válassza a Szűrő lehetőséget, kattintson a Szűrő hozzáadása gombra, és adja hozzá a környezetének megfelelő szabályokat.

o Ha korábban engedélyezte a parancssori folyamatnaplózást a környezetében, adja hozzá az alábbi képen látható szabálykészletet:

Riasztási profilok létrehozása

o Ha korábban nem engedélyezte a parancssori folyamatnaplózást a környezetében, adja hozzá az alábbi képen látható szabálykészletet:

Megjegyzés: Mivel a végrehajtható fájl nevével és az átadott argumentumokkal kapcsolatos információk nem lesznek elérhetők a 4688-as azonosítójú eseménynél, amikor a parancssori folyamatnaplózás nincs engedélyezve, a fenti képen látható szabálykészletből származó jelentések téves pozitív értékeket jelezhetnek.


9. A Riasztási műveletek részben válassza ki, hogyan szeretné megkapni a figyelmeztető üzenetet (SMS vagy e-mail értesítések), és konfigurálja a megfelelő beállításokat.

10. Kattintson a Mentés gombra.
Sikeresen beállította a riasztásokat, hogy azonnali SMS-t vagy e-mailt kapjon, ha potenciális kihasználási kísérletet észlel.

A ManageEngine ADAudit Plus-ról

Az ADAudit Plus egy valós idejű változásnaplózási megoldás, amely segít megőrizni az Active Directory, az Azure AD, a fájlkiszolgálók, a Windows-kiszolgálók és a munkaállomások biztonságát és megfelelőségét. Tudjon meg többet az ADAudit Plus-ról és az általa kínált lehetőségekről.

forrás: ManageEngine

 

2022 július 26

Szerző: Orosz-Rizák Gergely

Kategória: Cikk Hírek

Hírlevél. Legyen naprakész.

Kapcsolat

MWT SOLUTIONS SA1137

Budapest, Radnóti Miklós utca 2 New Work office RM2

Írjon nekünk: