Корпорация Microsoft подробно описала временное решение для администраторов, позволяющее защитить сети от ошибки нулевого дня в инструменте Windows, которую хакеры использовали при помощи вредоносных документов Word.
В минувшие выходные был обнаружен вредоносный документ Word, который был загружен на принадлежащий Google VirusTotal 25 мая.
Исследователь безопасности Кевин Бомонт обнаружил, что вредоносному документу было разрешено выполнять код с помощью законного диагностического инструмента службы поддержки Microsoft (msdt.exe) даже если макросы отключены. Вредоносный документ Word вызывает MSDT в Windows по протоколу URL-адреса “ms-msdt”. MSDT запускает «пакеты устранения неполадок».
Office Protected View – функция, которая предотвращает запуск макросов в документах из Интернета, – работает должным образом. Однако, по словам Кевина Бомонта, вредоносный код может быть выполнен, если документ Word преобразовать в формат Rich Text Format (RFT), а затем запустить.
Он описал ошибку как «нулевой день, разрешающий выполнение кода в продуктах Office», который не подчиняется инструкциям пользователя по отключению макросов. В то время Microsoft Defender не обнаруживал эту атаку, хотя с тех пор ситуация изменилась.
По словам Кевина Бомонта и других исследователей, макро-атака Word-RTF работала на полностью исправленных Office 2021, Office 2019, Office 2016 и Office 2013.
Сейчас Microsoft присвоила ошибке идентификатор CVE-2022-30190. Исправление ошибки еще не выпущено, но Центр реагирования на проблемы безопасности Microsoft (MSRC) предоставил описание «уязвимости MSDT в Windows» и предложил временное решение, а также обновил Defender сигнатурами атаки.
«Уязвимость удаленного выполнения кода существует, когда MSDT вызывается с использованием протокола URL из вызывающего приложения, такого как Word. Злоумышленник, который успешно использует эту уязвимость, может запустить произвольный код с привилегиями вызывающего приложения. Затем злоумышленник может устанавливать программы, просматривать, изменять или удалять данные или создавать новые учетные записи в контексте, разрешенном правами пользователя», – говорится в сообщении MSRC.
Запись Microsoft для CVE-2022-30190 указывает, что уязвимость влияет на MSDT во всех версиях Windows и Windows Server.
Microsoft оценила CVE-2022-30190 как серьезный недостаток и предоставила следующие инструкции по отключению протокола URL MSDT, чтобы предотвратить запуск пакетов устранения неполадок MSDT в виде ссылок:
Запустите командную строку от имени администратора.
Чтобы создать резервную копию раздела реестра, выполните команду “reg export HKEY_CLASSES_ROOTms-msdt filename”.
Выполните команду “reg delete HKEY_CLASSES_ROOTms-msdt /f”.
Microsoft также предоставила инструкции по отмене предложенного временного решения. Компания рекомендует клиентам с антивирусом Microsoft Defender включить облачную защиту и автоматическую отправку образцов.
Клиенты с Microsoft Defender for Endpoint (для предприятия) могут включить правило уменьшения поверхности атаки “BlockOfficeCreateProcessRule”, которое блокирует создание дочерних процессов приложениями Office.
Microsoft заявляет, что ее антивирус Defender «обеспечивает обнаружение и защиту от возможного использования уязвимостей … с помощью сборки обнаружения 1.367.719.0 или новее». Сигнатуры вредоносных файлов включают в себя:
Trojan:Win32/Mesdetty.A
Trojan:Win32/Mesdetty.B
Behavior:Win32/MesdettyLaunch.A
Behavior:Win32/MesdettyLaunch.B
Behavior:Win32/MesdettyLaunch.C
MSRC не рассматривал вопрос об атаке, если документ запущен в формате RTF. Однако отмечается: «Если вызывающее приложение является приложением Microsoft Office, по умолчанию Microsoft Office открывает документы из Интернета в Protected View или Application Guard для Office, оба из которых предотвращают текущую атаку».
Как описал Ксавьер Мертенс для SANS Internet Storm Center, при открытии вредоносного документа Word отображается то, что кажется пустым документом. Однако он содержит внешнюю ссылку, указывающую на вредоносный URL-адрес, из которого извлекается полезная нагрузка PowerShell с использованием протокола URL ms-msdt. Office автоматически обрабатывает URL-адрес MSDT и выполняет полезную нагрузку Powershell.
Уилл Дорманн, аналитик по уязвимостям в CERT/CC, отметил в Twitter, что ошибка была «очень похожа на ошибку MSHTML CVE-2021-40444», обнаруженную в сентябре. Учитывая, что Microsoft не выпустила исправление для нового недостатка, Дорманн рекомендует отключить протокол MSDT.