Follina:Office文件作為攻擊起點

近日有研究人員在Microsoft產品上發現嚴重的安全漏洞CVE-2022-30190,又名Follina,能夠透過MS Office檔安利用Windows Support Diagnostic Tool的安全漏洞,而且暫時未有修復補丁,官方建議暫時使用替代方案。

甚麼產品受CVE-2022-30190影響?

CVE-2022-30190存在於Windows Support Diagnostic Tool(MSDT)之內,看起來好像沒甚麼大影響,然而因為部署這工具,令攻擊者可以透過MS Office文件使用有關的安全漏洞。MSDT是當Windows發生錯誤時,作自動收集診斷資料然後發送至Microsoft的應用程式,這工具可以由其他應用程式經由特別的MSDT URL協議啟動,如果成功利用安全漏洞,攻擊者就可以通過特權執行任意編碼,而在這次的發現中,其他應用程式就是惡意的Word文件。

CVE-2022-30190安全漏洞存在於所有Windows家族的操作系統上,包括桌面和伺服器版本。

攻擊者如何使用CVE-2022-30190?

攻擊者首先創建一個惡意MS Office文件,然後發送給受害者,最常見自然是通過電郵和附件的方法,配合一些慣常的社交工程技倆去遊說收件者打開檔案,例如緊急檢查明早簽的合約。這個感染文件含有一條連結指向暫有JavaScript編碼的HTML檔,內容是透過MSDT於命令行執行惡意編碼,成功的話攻擊者能安裝程式、檢視、修改或毀滅檔案,也能夠建立新帳號,變相擁有特權下在受害者系統中為所欲為。

保持安全的方法

由於暫時未有補丁,官方建議關閉MSDT URL協議,用戶需要在命令提示字元執行指令reg delete HKEY_CLASSES_ROOT\ms-msdt /f,不過在此之前,最好先備份registry,方法是執行指令reg export HKEY_CLASSES_ROOT\ms-msdt 檔案名,事後可以透過reg import 檔案名來快速復原registry,不過這只是暫時的應急措施,當有補丁更新時用戶應該盡快安裝來堵塞Follina安全漏洞。此外,Kaspersky安全產品已能偵測嘗試使用CVE-2022-30190的攻擊,有興趣可以前往Securelist瀏覽技術詳情。

資料來源:Kaspersky Blog