2022年5月30日(現地時間)、Microsoft サポート診断ツール(MSDT)にリモートからコード実行が可能な脆弱性が確認されたとしてMicrosoftは セキュリティ情報を公開しました。文書ファイルを通じた攻撃が可能であり、条件が揃えば攻撃対象者の特定の操作を必要とせずファイルをプレビューするのみで影響を受ける可能性があります。ここでは関連する情報をまとめます。
1.何が起きたの?
- Windowsのツールの1つであるMicrosoft Windows Support Diagnostic Tool(Microsoft サポート診断ツール、略称MSDT)で深刻な脆弱性(CVE-2022-30190)のセキュリティ情報が公開された。また2022年6月15日まで修正する更新プログラムが公開されていないゼロデイの状態だった。
- MSDTはWord等の文書ファイルからも呼び出しが可能であり、細工を行ったファイルを通じてMSDTの脆弱性を悪用した攻撃を受ける可能性がある。マクロに依存した攻撃ではなくマクロを無効化していたとしても影響を受ける。
- 遅くとも2022年4月時点で脆弱性の存在やこの脆弱性を悪用した動きについて報告がされていた。
2.脆弱性を悪用されると何が起きるの?
- 脆弱性を悪用された場合、機密情報の窃取やリモートからのコード実行、呼び出し元のアプリケーションの権限で任意のコード実行が行われる恐れがある。既にマルウエアに感染させる事例も確認されている。
- 文書ファイルによる攻撃の場合、リモートテンプレート機能を用いて外部のWebサーバーからHTMLファイルを取得、HTMLファイル上でMSDTのスキーマである「ms-msdt:/」を使いPowerShellを実行する流れ。Officeファイルであれば保護ビューで緩和されるが、リッチテキストドキュメントの場合はプレビュー表示が有効となっていると、この機能を通じて同様の攻撃を実行することが可能。
- Windowsのツールであることから複数の呼び出し手段が確認されており、攻撃に有効な手段に関する調査が進められている。今後別の手段を通じた攻撃が発見される可能性がある。また文書ファイルを使った感染手法をとっていたEmotet等で今回の脆弱性が悪用される恐れがある。
脆弱性(CVE-2022-30190)デモ動画
3.影響を受ける条件は何?
次の条件を満たす場合、CVE-2022-30190の影響を受ける恐れがある。
- 影響を受けるOS(Win7以降)を利用している。
- 脆弱性を悪用するトリガーを実行してしまっている。
(不正なOfficeファイルを開いた後の保護ビュー解除(またはApplication Guardによる保護の削除)や不正なリッチテキストファイルをプレビューなど。)
脆弱性による影響が報告されている環境
脆弱性が有効に機能したとして報告が上がっている環境の例は以下の通り。
攻撃ベクタ | 攻撃が有効だった環境 |
---|---|
不正なOfficeファイルを開封し保護ビュー解除 | Windows 10、Office 365(Semi-Annual Channel)、Defender有効、マクロ無効化済 |
不正なRTFファイルをExplorerでプレビュー | Windows 11(22/5最新)、Office Pro Plus(22/4最新) |
不正なHTMLファイルをPowershell(Invoke-WebRequest)で取得 *1 | |
不正なコマンドをCLIで実行 *2 |
- Office側でマクロ実行の制限をかけていた場合でも脆弱性による影響を受ける。
- 最新のOfficeを利用している場合、Office文書を通じた攻撃は機能はしなかったとする報告がある。
影響対象のOS
セキュリティ更新プログラム等対応が取られていない次のWindowsを利用している。
- Windows 7 SP1
- Windows RT 8.1
- Windows 8.1
- Windows 10 (1607/1809/20H2/21H2)
- Windows 11
- Windows Server 2008 SP2
- Windows Server 2008 R2 SP1
- Windows Server 2012
- Windows Server 2012 R2
- Windows Server 2016
- Windows Server 2019
- Windows Server 20H2
- Windows Server 2022
4.脆弱性にどう対応すれば良いの?
攻撃手法がインターネット上に広く出回っている点や攻撃が比較的容易であることから、脆弱性を悪用した攻撃を自組織が既に受けている可能性も踏まえた対応を行うことが推奨される。
対応① 最新版への更新
- CVE-2022-30190を修正する更新プログラムを検証等行った上で適用する。
対応② 回避策(更新が行えない場合)
- レジストリを変更してMSDT URLプロトコルを無効化する。不要となった場合は適用した回避策を元に戻す必要あり。
HKEY_CLASSES_ROOT\ms-msdt
を削除することで無効にできる。- 当該レジストリを削除するにはローカルの管理者権限が必要。グループポリシーを通じてこの処理を行うこともできる。
- 無効化した場合は、WindowsのOS全体としてトラブルシューティングツールをリンクから起動することが出来なくなる。ただし、他の手段(Get Helpアプリケーション、システム設定、追加のトラブルシューティングツール経由)では引き続き利用することが可能。
- プレビュー機能を無効にする。
- Microsoft Defender ウイルス対策で
1.367.719.0
以降のシグネチャを適用する。これ以降のシグネチャで脆弱性悪用の可能性がある対象について検出可能。(検出名はTrojan:Win32/Mesdetty.A、Trojan:Win32/Mesdetty.B、Behavior:Win32/MesdettyLaunch.A、Behavior:Win32/MesdettyLaunch.B、Behavior:Win32/MesdettyLaunch.C) - GPOの一部設定を変更することで回避できるとする情報が出回っているが、MicrosoftはGPO設定の変更では脆弱性に対する保護とはならないとする見解を示している。
対応③ 攻撃有無の確認
- Microsoft Defender for Endpointを利用している場合、Microsoft 365 ポータルで次のアラートが発生していないか確認する。
- Suspicious behavior by an Office application
- Suspicious behavior by Msdt.exe
5.既に悪用はされているの?
- 脆弱性が発見された2022年5月末時点では一部のアクターによる悪用が確認されるも脆弱性の悪用が蔓延している状況ではないという見立て。
- いつ頃から悪用が確認されているかについて、2022年4月時点で脆弱性を悪用する文書ファイルがVirustotal上にアップロードされていたことが確認されている。また2021年10月に脆弱性を試行する動きがみられたとの報告がある。
- 中国に由来するTA413として呼称されるAPTアクターについて、Proofpointの調査チームが中央チベットの関係者を標的にしたとみられるファイルを確認したことを報告。その後もEUや米国政府を標的としたメールによる悪用例を確認したことも報告している。
- 脆弱性を悪用するWordファイルを通じてCobaltStrikeに感染させる事例が確認されている。
[:embed]
VirusTotal上で発見された不正な文書ファイル
初回サブミット日 | 対象のファイル |
---|---|
2022年4月8日 | 暴露する内容をデコイとするWordファイル |
2022年4月12日 | スプートニクRadioをデコイとしたWordファイル |
2022年4月13日 | ロシア語圏の内容をデコイとするWordファイル |
2022年5月26日 | ベラルーシのIPアドレスからサブミットされたWordファイル |
実証コードやツール
6.脆弱性の詳細を知りたい
CVE | CVE-2022-30190 |
---|---|
深刻度 | Important |
CVSSv3(base / Temp) (Microsoft評価) |
7.8 / 7.3 |
種類 | RCE |
報告日 | 2022年4月12日 |
修正版公開日 | 2022年6月15日 |
報告者 | Shadow Chaser Groupのcrazyman氏 |
脆弱性の通称 | Follina |
- 脆弱性はWin7、Win Server 2008 R2以降に導入されたWindows Trouble Platform (WTP) のカスタムプロトコルスキームの1つを介して実行される。WTPは内部的にPowerShellとトラブルシューティングパックに依存した実装となっている。実行には様々な方法があり、Invoke-TroubleshootingPackコマンドで使用できる他、プロトコルハンドラーを介してアプリケーションに実装することも可能。
- プログラム互換性のトラブルシュータ―と呼ばれる診断テストが実行され、この際プログラム選択やPowerShellコードのスキップ手順等のパラメータが診断テストツールに渡される。トラブルシューティングが必要となる実行形式ファイルの場所を格納するパラメーター
IT_BrowserForFile
が存在するが、このパラメータがPowerShellによって処理されてしまうためPowerShellスクリプトを埋め込みコードを実行する。
発見の経緯
- セキュリティ研究者チームのnao_secがVirustotalへサブミットされた不正な文書ファイルを発見したことが発端。その後Kevin Beaumont氏もこれを取り上げたことでより多くの関係者から注意を引くこととなった。
- その後、crazyman氏が4月時点でMicrosoftへ連絡済みであったことを報告した。この脆弱性報告を巡るMS側とのやり取りは奇妙な顛末となっていることが報じられている。報告者によればセキュリティ関連の問題ではない(MS側はMSDTが実行されるも起動時にパスコードが必要でサンプルが動作することを確認が取れなかったと回答)と取り下げの扱いとされた一方で、MicrosoftはVULN-065524として報告された内容をRCEの脆弱性として取り扱っており、4月12日時点で修正済みとしてクローズした。
脆弱性呼称「Follina」の由来は?
- 名付けたのはKevin Beaumont氏。Virustotalでサブミットされていたファイル名が「05-2022-0438.doc」であり、数字の0438がイタリアの市外局番であったことに由来するもの。
- 同氏はWindows Paintを使って慎重に作成したとして脆弱性の公式ロゴも公開している。
7.公式情報や注意喚起は出ている?
Microsoftの公式情報
参考となる技術情報やメモ
- Follina — a Microsoft Office code execution vulnerability (Kevin Beaumont)
- New Microsoft Office Attack Vector via "ms-msdt" Protocol Scheme (CVE-2022-30190) (ISC SANS)
- Threat Brief: CVE-2022-30190 – MSDT Code Execution Vulnerability (PaloAlto)
- Prevention, Hunting and Playbooks for MSDT Zero-Day (CVE-2022-30190) (PaloAlto)
- RCE à La Follina (CVE-2022-30190) (Splunk)
- Rapid Response: Microsoft Office RCE - “Follina” MSDT Attack (Huntless)
- Technical Advisory: CVE-2022-30190 Zero-day Vulnerability “Follina” in Microsoft Support Diagnostic Tool (Bitdefender)
主な更新履歴
- 2022年6月2日 AM 新規作成
- 2022年6月2日 AM 攻撃ベクタ、事例等追記
- 2022年6月8日 PM 事例等追記、Paloaltoと表記していた箇所を修正
- 2022年6月15日 PM 更新プログラム公開に伴い更新