top of page
  • 作家相片Jerry Ho / SOC資安工程師

資安攻擊案例:利用合法掩護非法Follina漏洞攻擊


利用合法掩護非法的Follina漏洞攻擊

「Follina漏洞 (編號CVE-2022-30190)」是被列為2022年的十大最常被利用的漏洞攻擊第一位,駭客透過內含惡意軟體並濫用微軟MSDT協定URI架構的Word文件,以遠端程式碼執行作業,進一步控制電腦和竊取個人機密,以及四處散佈Qbot竊密木馬程式。更因為它的攻擊模式是一個「利用合法掩護非法」的典型案例,加上實作可行性容易達成的特性,所以我們就針對「Follina漏洞攻擊」做為實務案例來進行解說。

合法不等於安全

網路駭客就跟現實中的詐騙集團一樣,以如何成功誘騙獲利為目的,從來不講武德跟規則。但是在網路數位世界中,駭客能夠拿來利用的犯罪手段方法是比你聽說的還要更加過分!其中有一種最難防止的手法就是「利用合法掩護非法」,因為它是利用存在於你的環境系統中已經存在的合法工具們,但是因為這些合法工具被找到能夠被利用的缺陷問題,駭客往往可以採取各種變裝形式跟不同管道來接觸這些泛稱「有風險的合法工具」,因爲執行的效率好、藏身的效果佳,所以成為近年來一種駭客攻擊的主流方法。 所謂的「合法工具」包括各種軟體程式跟系統已經內建的工具與服務,其中又以後者是更容易遭受攻擊威脅的部分,以下我們就針對一個預設存在於微軟作業系統的支援診斷工具MSDT為案例來說明。


被駭客利用的「微軟支援診斷工具: MSDT」

微軟支援診斷工具:MSDT的全名為Microsoft Support Diagnostic Tool,它是微軟公司在Windows作業系統中預設開啟作為診斷支援的工具,用來蒐集主機相關診斷資料以回傳給原廠技術人員進行分析問題跟支援服務,並且也能用來提醒電腦使用者下載其他工具。但是,在2022年5月30日正式公佈MSDT存在高風險的漏洞,漏洞編號為CVE-2022-30190並且被命名為『Follina漏洞』。


因為MSDT是存在於包括Windows系統的各個版本中,想當然的也都受到影響。由於攻擊者可以利用MSDT這個合法工具來進行「遠端程式攻擊 (RCE)」方式,例如Word等應用程式透過URL協定呼叫MSDT時,就會出現遠端程式攻擊漏洞,成功開採該漏洞的駭客就可以用Word權限來執行任意程式碼,包括安裝程式、檢視、變更或刪除資料,還能建立新帳號。考量到微軟Windows系統及Office軟體的使用普及程度極高,而被利用的MSDT工具是內建合法的,再加上這個漏洞被拿來利用的做法不複雜,這意味著Follina漏洞所將造成的安全影響是難以想像的破壞力。


揭開「Follina漏洞」的恐怖面紗

任何的漏洞被發現存在的過程都有一段有趣歷程,它們多數在被正式公佈之前可能就已經存在很久,只是在沒有被證明之前則不會被注意及建立檔案。而「Follina」漏洞雖然是在2022/5/30被國際漏洞管理組織CVE正式對外公布,並建檔漏洞編號CVE-2022-30190,但其實更早在4月份就已經有資安研究團隊發現並通報微軟,不過微軟在當時因為無法重置樣本而一度將它判定為「非安全問題」。幸好有另一個資安研究團隊nao_sec發現,他們在Virus Total尋找漏洞相關檔案時發現一個從白俄羅斯上傳的微軟Office Word檔案,當中嵌入了物件並連線外部站台下載 HTML,進一步則呼叫微軟支援診斷工具MSDT,利用其支援的URL協議執行 PowerShell 指令。幸而Nao-Sec的發現報告引起了另一位資安研究人員Kevin Beaumont的注意,他也是將這個漏洞命名為Follina的人。Kevin發現即使在 Office巨集功能關閉的情形下,這個漏洞還是可以透過微軟支援診斷工具MSDT執行指令;而如果 Office啟用 "受檢視的保護 (Protected View)" 確實有保護效果,但將 Office 文件另存為 RTF 格式,竟然可以透過檔案總管"預覽窗格"的功能,在不需要使用者互動下便可自動開啟檔案並執行。 各位可以從前面的資訊意識到,假如有心人士利用我們俗稱社交工程的方式,發送一封Email並附件一份帶有Follina (CVE-2022-30190)漏洞的Word檔案給你跟公司人員,又或者誘騙到某個網站下載Office文件檔案,已發生的案例像是偽裝成:請款單、合約、優惠申請表等,利用你信任的對象、單位、甚至是具權威性質的主管機關或VIP長官的方式。請切記!絕對不要認為自己不容易被騙,必須試想公司只要有一名人員受騙中招,也就意味駭客成功搶得灘頭堡,後續就能開始一連串的遠端執行工作。


解析「Follina漏洞」的攻擊模式

Follina漏洞攻擊模式主要是由攻擊者利用存在於微軟支援診斷工具MSDT中的漏洞,預先在微軟Office的檔案(例如Word檔)中嵌入外部連結物件,並且設計成騙人的釣魚郵件來誘騙受害者接觸下載問題檔案,一旦受害者執行了這份惡意 Word 文件檔時就會連線到駭客中繼站(C&C)下載含有惡意執行為的網頁,進一步呼叫微軟支援診斷工具MSDT並且利用MSDT支援的URL通訊方式,開始執行任意的程式碼並開始惡意攻擊,例如安裝非法的程式、變更或刪除資料、加密檔案、甚至是建立新帳號或提高權限等。

請注意!這個攻擊模式的過程幾乎都是在「合法狀態」下進行「暗渡陳倉」的非法工作準備,當一切準備就緒時才是「攻擊行動」的開始。


Follina漏洞攻擊模式
圖:Follina漏洞攻擊模式

WIZON資安專家的建議

Follina漏洞被利用作為攻擊武器的可行性非常的高,假如在沒有任何偵測跟防範作為下,駭客利用合法工具MSDT要完成入侵感染及更多的非法行為,是相當容易被掩護之下順利達成。特別是有鑒於微軟Office的普及性極高,強烈建議對於來路不明的Office文件檔應特別注意,不要任意執行。

除此之外,WIZON資安團隊進行漏洞驗證過程中也發現部份舊版本的Windows及Office仍受此漏洞影響,除了建議盡快針對此漏洞完成相對應安全性更新外,建議企業應養成定期盤點環境內系統、定期進行系統更新的好習慣,以保持系統處於安全且穩定的狀態。

而對於修補更新難為的系統環境與用戶情況,我們還是基於資安的角度呼籲「儘速評估升級」。以下為Follina漏洞應對緩解措施及相關情資,提供各位參考。


一. Follina漏洞影響系統:

  1. Windows系統版本:Windows 7、Windows 8.1、Windows 10、Windows 11、Windows Server 2008、Windows Server 2012、Windows Server 2016、Windows Server 2019和Windows Server 2022。

  2. Office軟體版本:Office Pro Plus、Office 2013、Office 2016、Office 2019 和 Office 2021

二. Follina漏洞應對措施:

1. 漏洞修補更新:微軟在2022年6月釋出的資安更新修補包已有對這個漏洞修補,儘速確認並套用更新,相關的微軟官方更新:https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-30190


2. 關閉停用MSDT:假如無法執行更新、或無法確認更新的掌握度,微軟官方也建議用戶先停用MSDT相關功能及其URL協定,但可能會有無法預期的狀況發生,因此也建議先進行相關備份, 可參考微軟官方的做法:

  • 以系統管理員身分開啟「命令提示字元」視窗

  • 執行「reg export HKEY_CLASSES_ROOT\\ms-msdt filename」指令進行機碼備份

  • 執行指令「reg delete HKEY_CLASSES_ROOT\\ms-msdt /f」

  • 後續安裝修補程式後,若要還原機碼,請執行「reg import filename」

3. 留意來路不明的Email跟檔案:這個建議是適用在現今各種類型的資安攻擊威脅防範上,因為Email仍是 . 人們最大宗且主要的通訊媒介,許多駭客攻擊都必定會利用的管道。

4. 部署進階的端點防護:面對越來越多相同性質的攻擊威脅,透過部署進階的端點防護是更有效且積極的方式,能夠針對像Follina漏洞被利用時的多種惡意行為跟情資,即時偵測並且阻擋它下一個步驟執行,畢竟上述的3種建議都存在一時的不注意或不小心。

三. Follina漏洞相關情資:



 

參考資料:

  1. 微軟安全回應中心-漏洞說明:https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-30190

  2. 微軟安全回應中心Blog-漏洞指引:https://msrc.microsoft.com/blog/2022/05/guidance-for-cve-2022-30190-microsoft-support-diagnostic-tool-vulnerability

  3. Bleeping Computer News:https://www.bleepingcomputer.com/news/security/new-microsoft-office-zero-day-used-in-attacks-to-execute-powershell

  4. TW-CERT台灣電腦網路危機處理暨協調中心-軟硬體漏洞資訊:https://www.twcert.org.tw/newepaper/cp-67-6221-2f337-3.html

  5. F-ISAC 金融資安資訊分享與分析中心:https://www.fisac.tw/STIX_CASE/QueryStixCase/Detail?Uno=JPDA__p_VC357jM8a__s_qFg6S1__s_v__p_SqT0ACBpVOiTbMV1H__s_A__e_

  6. 圖片來源:logz.io


コメント


bottom of page