piyolog

piyokangoの備忘録です。セキュリティの出来事を中心にまとめています。このサイトはGoogle Analyticsを利用しています。

Microsoft サポート診断ツールの脆弱性 (CVE-2022-30190) についてまとめてみた

2022年5月30日(現地時間)、Microsoft サポート診断ツール(MSDT)にリモートからコード実行が可能な脆弱性が確認されたとしてMicrosoftは セキュリティ情報を公開しました。文書ファイルを通じた攻撃が可能であり、条件が揃えば攻撃対象者の特定の操作を必要とせずファイルをプレビューするのみで影響を受ける可能性があります。ここでは関連する情報をまとめます。

1.何が起きたの?

  • Windowsのツールの1つであるMicrosoft Windows Support Diagnostic Tool(Microsoft サポート診断ツール、略称MSDT)で深刻な脆弱性(CVE-2022-30190)のセキュリティ情報が公開された。また2022年6月15日まで修正する更新プログラムが公開されていないゼロデイの状態だった。
  • MSDTはWord等の文書ファイルからも呼び出しが可能であり、細工を行ったファイルを通じてMSDTの脆弱性を悪用した攻撃を受ける可能性がある。マクロに依存した攻撃ではなくマクロを無効化していたとしても影響を受ける。
  • 遅くとも2022年4月時点で脆弱性の存在やこの脆弱性を悪用した動きについて報告がされていた。
Microsoft サポート診断ツールの画面(Win10)

2.脆弱性を悪用されると何が起きるの?

  • 脆弱性を悪用された場合、機密情報の窃取やリモートからのコード実行、呼び出し元のアプリケーションの権限で任意のコード実行が行われる恐れがある。既にマルウエアに感染させる事例も確認されている。
  • 文書ファイルによる攻撃の場合、リモートテンプレート機能を用いて外部のWebサーバーからHTMLファイルを取得、HTMLファイル上でMSDTのスキーマである「ms-msdt:/」を使いPowerShellを実行する流れ。Officeファイルであれば保護ビューで緩和されるが、リッチテキストドキュメントの場合はプレビュー表示が有効となっていると、この機能を通じて同様の攻撃を実行することが可能。
  • Windowsのツールであることから複数の呼び出し手段が確認されており、攻撃に有効な手段に関する調査が進められている。今後別の手段を通じた攻撃が発見される可能性がある。また文書ファイルを使った感染手法をとっていたEmotet等で今回の脆弱性が悪用される恐れがある。
脆弱性(CVE-2022-30190)デモ動画

www.youtube.com
www.youtube.com

3.影響を受ける条件は何?

次の条件を満たす場合、CVE-2022-30190の影響を受ける恐れがある。

  • 影響を受けるOS(Win7以降)を利用している。
  • 脆弱性を悪用するトリガーを実行してしまっている。
    (不正なOfficeファイルを開いた後の保護ビュー解除(またはApplication Guardによる保護の削除)や不正なリッチテキストファイルをプレビューなど。)
脆弱性による影響が報告されている環境

脆弱性が有効に機能したとして報告が上がっている環境の例は以下の通り。

攻撃ベクタ 攻撃が有効だった環境
不正なOfficeファイルを開封し保護ビュー解除 Windows 10、Office 365(Semi-Annual Channel)、Defender有効、マクロ無効化済
不正なRTFファイルをExplorerでプレビュー Windows 11(22/5最新)、Office Pro Plus(22/4最新)
不正なHTMLファイルをPowershell(Invoke-WebRequest)で取得 *1  
不正なコマンドをCLIで実行 *2  
  • Office側でマクロ実行の制限をかけていた場合でも脆弱性による影響を受ける。
  • 最新のOfficeを利用している場合、Office文書を通じた攻撃は機能はしなかったとする報告がある。
影響対象のOS

セキュリティ更新プログラム等対応が取られていない次のWindowsを利用している。

  • Windows 7 SP1
  • Windows RT 8.1
  • Windows 8.1
  • Windows 10 (1607/1809/20H2/21H2)
  • Windows 11
  • Windows Server 2008 SP2
  • Windows Server 2008 R2 SP1
  • Windows Server 2012
  • Windows Server 2012 R2
  • Windows Server 2016
  • Windows Server 2019
  • Windows Server 20H2
  • Windows Server 2022

4.脆弱性にどう対応すれば良いの?

攻撃手法がインターネット上に広く出回っている点や攻撃が比較的容易であることから、脆弱性を悪用した攻撃を自組織が既に受けている可能性も踏まえた対応を行うことが推奨される。

対応① 最新版への更新
  • CVE-2022-30190を修正する更新プログラムを検証等行った上で適用する。
対応② 回避策(更新が行えない場合)
  • レジストリを変更してMSDT URLプロトコルを無効化する。不要となった場合は適用した回避策を元に戻す必要あり。HKEY_CLASSES_ROOT\ms-msdtを削除することで無効にできる。
    • 当該レジストリを削除するにはローカルの管理者権限が必要。グループポリシーを通じてこの処理を行うこともできる。
    • 無効化した場合は、WindowsのOS全体としてトラブルシューティングツールをリンクから起動することが出来なくなる。ただし、他の手段(Get Helpアプリケーション、システム設定、追加のトラブルシューティングツール経由)では引き続き利用することが可能。
  • プレビュー機能を無効にする。
  • Microsoft Defender ウイルス対策で1.367.719.0以降のシグネチャを適用する。これ以降のシグネチャで脆弱性悪用の可能性がある対象について検出可能。(検出名はTrojan:Win32/Mesdetty.A、Trojan:Win32/Mesdetty.B、Behavior:Win32/MesdettyLaunch.A、Behavior:Win32/MesdettyLaunch.B、Behavior:Win32/MesdettyLaunch.C)
  • GPOの一部設定を変更することで回避できるとする情報が出回っているが、MicrosoftはGPO設定の変更では脆弱性に対する保護とはならないとする見解を示している。
対応③ 攻撃有無の確認
  • Microsoft Defender for Endpointを利用している場合、Microsoft 365 ポータルで次のアラートが発生していないか確認する。
    • Suspicious behavior by an Office application
    • Suspicious behavior by Msdt.exe

5.既に悪用はされているの?

[:embed]

VirusTotal上で発見された不正な文書ファイル
初回サブミット日 対象のファイル
2022年4月8日 暴露する内容をデコイとするWordファイル
2022年4月12日 スプートニクRadioをデコイとしたWordファイル
2022年4月13日 ロシア語圏の内容をデコイとするWordファイル
2022年5月26日 ベラルーシのIPアドレスからサブミットされたWordファイル
実証コードやツール

6.脆弱性の詳細を知りたい

CVE CVE-2022-30190
深刻度 Important
CVSSv3(base / Temp)
(Microsoft評価)
7.8 / 7.3
種類 RCE
報告日 2022年4月12日
修正版公開日 2022年6月15日
報告者 Shadow Chaser Groupのcrazyman氏
脆弱性の通称 Follina
  • 脆弱性はWin7、Win Server 2008 R2以降に導入されたWindows Trouble Platform (WTP) のカスタムプロトコルスキームの1つを介して実行される。WTPは内部的にPowerShellとトラブルシューティングパックに依存した実装となっている。実行には様々な方法があり、Invoke-TroubleshootingPackコマンドで使用できる他、プロトコルハンドラーを介してアプリケーションに実装することも可能。
  • プログラム互換性のトラブルシュータ―と呼ばれる診断テストが実行され、この際プログラム選択やPowerShellコードのスキップ手順等のパラメータが診断テストツールに渡される。トラブルシューティングが必要となる実行形式ファイルの場所を格納するパラメーターIT_BrowserForFileが存在するが、このパラメータがPowerShellによって処理されてしまうためPowerShellスクリプトを埋め込みコードを実行する。
発見の経緯
脆弱性呼称「Follina」の由来は?
  • 名付けたのはKevin Beaumont氏。Virustotalでサブミットされていたファイル名が「05-2022-0438.doc」であり、数字の0438がイタリアの市外局番であったことに由来するもの。
  • 同氏はWindows Paintを使って慎重に作成したとして脆弱性の公式ロゴも公開している。
脆弱性Follinaの公式ロゴとされる画像

主な更新履歴

  • 2022年6月2日 AM 新規作成
  • 2022年6月2日 AM 攻撃ベクタ、事例等追記
  • 2022年6月8日 PM 事例等追記、Paloaltoと表記していた箇所を修正
  • 2022年6月15日 PM 更新プログラム公開に伴い更新