Kako zaznati Follino, kritično ranljivost v sistemu Windows MSDT

Microsoft je potrdil varnostno ranljivost, ki je dobil oznako CVE-2022-30190 in o njej objavil dodatne informacije na svojem portalu MSRC 30. maja 2022. Ranljivost omogoča oddaljeno izvajanje kode (RCE), ko se MSDT (Microsoft Support Diagnostic Tool) uporabi s pomočjo protokola URL iz izvorne aplikacije. »Napadalec, ki uspešno izkoristi to ranljivost, lahko zažene poljubno kodo s privilegiji izvorne aplikacije,« je pojasnil Microsoft. To napadalcem omogoča izvajanje več kritičnih funkcij, kot so namestitev novih programov, spreminjanje podatkov in ustvarjanje novih računov v kontekstu, ki ga dovoljujejo pravice uporabnika.

Varnostni raziskovalci pri Proofpointu so zaznali aktivno izkoriščanje te ranljivosti s strani kitajske skupine APT (TA413) z izvajanjem zlonamerne kode, ki cilja na odprte Wordove dokumente ali takšne v predogledu, dostavljene v arhivih ZIP.

Conscia Cyberdefense SOC lahko zanesljivo zazna poskus zlorabe te ranljivosti v realnem času za naše stranke MDR, ki uporabljajo Cortex XDR in Microsoft Defender kot izbrana orodja za zaznavanje incidentov na končnih postajah.
Kako zaznati možno zlorabo

Medtem ko Microsoft priporoča, da onemogočite protokol URL MSDT, da bi ublažili to ranljivost, je Tom Kern (Conscia Cyberdefense inženir za zaznavanje groženj), razvil pravilo za zaznavanje potencialne zlorabe ranljivosti za tiste, ki niso navdušeni nad predlagano rešitvijo in se rajši zanašajo na robustno zaznavanje.

Eden najbolj očitnih načinov za odkrivanje zlorabe je, da se osredotočite na razmerje med procesom msdt.exe in programsko opremo Office (kot je MS Word) Spodnja slika prikazuje dnevniški zapis med odpiranjem »oboroženega« Wordovega dokumenta:

To je vsekakor nekaj, kar je treba iskati. Vendar v tem primeru predvidevamo in se omejujemo na dejstvo, da bo vektor napada v obliki oborožene Wordove datoteke. Ne pozabite, da ta ranljivost ni v Microsoft Office-u, temveč v orodju za diagnostiko, zato jo je mogoče dostaviti in izkoristiti na več načinov. Omejevanje naših prizadevanj za odkrivanje samo na ta scenarij daje napadalcu možnost, da zaobide našo obrambo z izbiro drugega vektorja napada.

Da bi definirali bolj splošno logiko zaznavanja, smo se osredotočili na samo izvedbo kode. V našem testiranju je zlonamerna koda skonfigurirana tako, da odpre notepad.exe.

 

Tu smo opazili, da je sdiagnhost.exe tisti, ki v tem primeru odpre notepad.exe. Pristop črnega seznama (angl. Blacklist) za odkrivanje tega razmerja bi bil iskanje vseh sumljivih podrejenih procesov sdiagnhost.exe, kot so:

 

Ta pristop je pomanjkljiv, saj se osredotoča na znane izvedljive datoteke, ki jih napadalci običajno zlorabljajo. Bolj zanesljiv pristop je uvrstitev pričakovanih podrejenih procesov na seznam dovoljenih (angl. Whitelist). To pomeni, da moramo definirati pravilo, ki se sproži, če sdiagnhost.exe ustvari podrejeni proces, ki ni običajen za to izvedljivo datoteko.

Razumevanje SDIAGNHOST

Če želite razumeti, kaj je normalno za sdiagnhost.exe, morate najprej razumeti, kako ga uporablja operacijski sistem. Verjetno poznate funkcijo v sistemu Microsoft Windows, ki poskuša odpraviti določeno težavo namesto vas. Izgleda takole:

Za odpravljanje težav skrbi sdiagnhost.exe, ki sproži različne procese, ki se uporabljajo za zbiranje več informacij o težavi. Na primer, če se odpravlja težava z omrežjem, bo sdiagnhost.exe ustvaril route.exe, ki zagotavlja lokalno usmerjevalno tabelo za prepoznavanje težav s privzetim prehodom.

Obstaja omejeno število izvedljivih datotek, ki jih bo sprožil sdiagnhost.exe. V okolju naših strank so bile to:

Zaznavanje sumljivih SDIAGNHOST podrejenih procesov

Torej pričakovati je, da bo sdiagnhost.exe sprožil zgoraj omenjene procese. Sedaj lahko trdimo da vsi ostali procesi, ki bi jih sprožil sdiagnhost.exe, niso pričakovani in so sumljivi. Vendar pa seznam ni nujno popoln in ga je treba preveriti v vašem okolju za morebitne dodatne izvedljive datoteke, ki so bile opažene v preteklosti.

Detekcijsko pravilo bi izgledalo tako:

  1. Ime nadrejenega procesa je sdiagnhost.exe IN
  2. Ime procesa se ne nahaja v [seznamu zgoraj]

Prednost takšnega pristopa je vsekakor robustnost zaznave morebitnih prihodnjih variacij RCE ranljivosti v Microsoftovem diagnostičnem orodju, saj se logika zaznave osredotoča na odstopanja od običajnega in ne le na pričakovano slabo vedenje.