Vulnerabilitatea Windows zero-day, descoperită recent, continuă să facă știri, deoarece actorii amenințărilor de pe tot globul sunt necruțători în eforturile lor de a o exploata. Vulnerabilitatea, numită Follina, poate fi exploatată atunci când Microsoft Support Diagnostic Tool (MSDT) este apelat de o aplicație Microsoft Office folosind protocolul URL.
Care este impactul acestuia?
Urmărită ca CVE-2022-30190, exploatarea acestei vulnerabilități permite atacatorului să execute cod arbitrar atunci când un document Word este deschis sau pur și simplu previzualizat pe un computer țintă. Odată făcut acest lucru, atacatorul poate executa comenzi PowerShell pentru a instala programe, a vizualiza, modifica sau șterge date sau chiar pentru a crea conturi noi.
Cu un rating de 7,8, Follina se încadrează în categoria de severitate „înaltă”. Ceea ce o face mai serioasă este că instrumentul MSDT care colectează și trimite date de diagnosticare către Microsoft Support pentru analiză se găsește pe toate versiunile Windows și Windows Server OS. Aceasta înseamnă că, fără o strategie de atenuare, toate mașinile Windows sunt ținte potențiale pentru actorii răi care încearcă să exploateze această vulnerabilitate.
Deși Microsoft a recunoscut vulnerabilitatea și a sugerat soluții pentru a-i atenua impactul, nu a emis un patch oficial pentru a rezolva defectul (începând cu 13 iunie 2022).
Cum să depistezi exploatările Follina
Monitorizarea proceselor părinte-copil care rulează în mediul dumneavoastră este o modalitate de a detecta posibila exploatare a acestei vulnerabilități. Dacă aveți o soluție care auditează procesele Windows, o puteți configura astfel:
1. Căutați sistemele care generează msdt.exe ca proces copil al WINWORD.EXE, EXCEL.EXE, OUTLOOK.EXE sau POWERPNT.EXE.
2. Căutați IT_BrowseForFile, IT_LaunchMethod și IT_RebrowseForFile dacă aveți activat auditarea liniei de comandă, deoarece nu sunt parametri comuni.
Există soluții alternative?
Ca parte a consilierii sale, Microsoft a sugerat dezactivarea protocolului URL MSDT ca o soluție pentru a atenua această vulnerabilitate.
Pentru a dezactiva protocolul URL MSDT:
1. Rulați linia de comandă ca administrator.
2. Executați următoarea comandă pentru a face o copie de rezervă a cheii de registry:
reg export HKEY_CLASSES_ROOT\ms-msdt <filename>
3. Apoi, executați comanda prezentată mai jos:
reg delete HKEY_CLASSES_ROOT\ms-msdt /f
Pentru a anula soluția:
1. Rulați linia de comandă ca administrator.
2. Executați următoarea comandă pentru a restaura cheia de registry:
reg import <filename>
Cum vă poate ajuta ManageEngine ADAudit Plus să detectați exploatările Follina
Folosind rapoartele exclusive de urmărire a proceselor ADAudit Plus, puteți verifica dacă mediul dumneavoastră este expus la CVE-2022-30190 și puteți declanșa alerte în timp real ori de câte ori este detectată o încercare de exploatare.
Verificați computerele afectate utilizând rapoartele de urmărire a proceselor
ADAudit Plus activează automat politica „Crearea procesului de audit” care vă permite să urmăriți activitatea de creare a procesului. Cu toate acestea, pentru a evita falsele pozitive, ar trebui să activați auditarea procesului în linia de comandă pentru a vă asigura că evenimentul de creare a procesului (ID eveniment 4688) include informații despre numele fișierului executabil și argumentele transmise.
Activarea auditării procesului în linia de comandă:
1. Conectați-vă la serverul care rulează ADAudit Plus și deschideți Consola de gestionare a politicilor de grup.
2. Din GPO-urile legate de domeniu, identificați ADAuditPlusMSPolicy GPO, faceți clic dreapta pe el și selectați Editați.
3. În Editorul de politici de grup, navigați Computer Configuration > Policies > Administrative Templates > System > Audit Process Creation.
4. Faceți clic dreapta pe setarea Includeți linia de comandă în evenimentele de creare a procesului și selectați Editare.
5. În fereastra Includeți linia de comandă în evenimentele de creare a procesului, bifați Activat și faceți clic pe OK.
Odată ce setarea GPO de mai sus este activată, rapoartele de urmărire a proceselor ADAudit Plus vor afișa evenimente legate de posibile exploatări Follina.
Verificarea computerelor afectate:
- Conectați-vă la consola dvs. web ADAudit Plus.
- Navigați la Audit server > Urmărire proces > Proces nou creat.
- În raport, faceți clic pe Căutare avansată și adăugați regulile adecvate corespunzătoare mediului dvs.
a. Dacă ați activat anterior auditarea procesului în linia de comandă în mediul dvs., puteți verifica computerele afectate adăugând setul de reguli prezentat în imaginea de mai jos:
[ [ „File Name” se termină cu „msdt.exe” ] și [ „Process Command Line” Conține „ms-msdt:-id” SAU „Process Command Line” Conține „ms-msdt:/id” ] ȘI [ „Process Command Line” Conține „PCWDiagnostic” ] ȘI [ „ Process Command Line” Conține „IT_BrowserForFile” SAU „ Process Command Line” Conține „IT_LaunchMethod” SAU „ Process Command Line” Conține „IT_RebrowseForFile” ] ȘI [ „ Process Command Line” Conține „/ /” SAU „ Process Command Line” conține „./” SAU „ Process Command Line” conține „/.” SAU „ Process Command Line” conține „../” ] ȘI [ „ Creator Process Name” se termină cu „WINWORD.EXE” SAU „ Creator Process Name” se termină cu „EXCEL.EXE” SAU „ Creator Process Name” se termină cu „PERSPECTIVE .EXE” SAU „ Creator Process Name” se termină cu „POWERPNT.EXE” ] ]
Dacă nu ați activat anterior auditarea procesului în linia de comandă în mediul dvs., puteți verifica computerele afectate adăugând setul de reguli prezentat mai jos:
[ [ “File Name” Contains “msdt.exe” ] ȘI [ “Creator Process Name” se termină cu “WINWORD.EXE” SAU “Creator Process Name” se termină cu “EXCEL.EXE” SAU “Creator Process Name” Se termină cu “OUTLOOK.EXE” SAU “Creator Process Name” se termină cu “POWERPNT.EXE” ] ]
Notă: Deoarece informațiile legate de numele fișierului executabil și argumentele transmise nu vor fi disponibile în evenimentul ID 4688 când auditarea procesului în linia de comandă nu este activată, rapoartele rezultate din setul de reguli din imaginea de mai sus pot indica rezultate false pozitive.
4. După ce ați adăugat regulile, faceți clic pe Căutare și veți găsi lista computerelor afectate de această vulnerabilitate.
Configurați alerte în timp real pentru a detecta viitoarele exploatări Follina cu ADAudit Plus
Cu ADAudit Plus, puteți configura și profiluri de alertă pentru a primi alerte în timp real atunci când evenimente legate de această vulnerabilitate sunt înregistrate în viitor.
Crearea unui profil de alertă:
1. Conectați-vă la consola dvs. web ADAudit Plus.
2. Navigați la Configurare > Profiluri de alertă > Creare profil de alertă.
3. Specificați un nume și o descriere adecvate pentru profilul de alertă și selectați severitatea acestuia.
4. În câmpul Categorie, selectați Toate și faceți clic pe simbolul „+” din dreapta.
5. În ecranul pop-up, selectați domeniul dvs., selectați Toate din meniul drop-down Categorie, faceți clic pe Căutare, tastați „Urmărirea procesului” și apăsați Enter.
6. Verificați Process Tacking pentru profilul de raport al domeniului <selectat> și faceți clic pe OK.
7. Introduceți un mesaj de alertă adecvat.
8. În secțiunea Configurare avansată, selectați Filtru, faceți clic pe Adăugare filtru și adăugați regulile adecvate corespunzătoare mediului dumneavoastră.
a. Dacă ați activat anterior auditarea procesului în linia de comandă în mediul dvs., adăugați setul de reguli afișate în imaginea de mai jos:
b. Dacă nu ați activat anterior auditarea procesului în linia de comandă în mediul dvs., adăugați setul de reguli afișate în imaginea de mai jos:
Notă: Deoarece informațiile legate de numele fișierului executabil și argumentele transmise nu vor fi disponibile în evenimentul ID 4688 când auditarea procesului în linia de comandă nu este activată, rapoartele rezultate din setul de reguli din imaginea de mai sus pot indica rezultate false pozitive.
9. În secțiunea Acțiuni de alertă, alegeți cum doriți să primiți mesajul de alertă (notificări SMS sau e-mail) și configurați setările corespunzătoare.
10. Faceți clic pe Salvare.
Acum ați configurat cu succes alerte pentru a primi notificări instantanee prin SMS sau e-mail atunci când este detectată o potențială încercare de exploatare.
Despre ManageEngine ADAudit Plus
ADAudit Plus este o soluție de auditare a modificărilor în timp real, care vă ajută să vă mențineți Active Directory, Azure AD, serverele de fișiere, serverele Windows și stațiile de lucru atât în siguranță, cât și în conformitate.
Sursă: ManageEngine
18.07.2022
Autor: marketing@mwtsolutions.eu
Categorii: Articol Știri