VNG Cloud Logo

[CVE-2022-30190] Zero Click Zero Day Microsoft Office RCE​​​​​​​

Thông tin về CVE-2022-30190 
CVE-2022-30190 (CVSS score: 7.8) là một lỗ hổng thực thi mã từ xa trong Microsoft Support Diagnostic Tool (MSDT) – một phần mềm mặc định trên Windows có nhiệm vụ báo cáo lỗi trên máy tính đến Microsoft. Lỗ hổng này tồn tại do cách gọi MSDT bằng giao thức URL từ một số ứng dụng nhất định (trong đó có một số phiên bản đã vá của MS Office 2019 và 2021).

Kẻ tấn công tạo ra một file tài liệu (như Word) độc hại và gửi nó đến mục tiêu. Bằng cách khai thác lỗ hổng này, kẻ tấn công có thể thực hiện các lệnh với quyền của ứng dụng được sử dụng để mở tài liệu độc hại. Theo Microsoft, kẻ tấn công có thể “cài đặt chương trình; xem, thay đổi hoặc xóa dữ liệu; tạo tài khoản mới”.

Nguy hiểm hơn, nếu tệp độc hại ở định dạng RTF, hành vi khai thác sẽ kích hoạt khi người dùng chọn tệp độc hại trong Windows Explorer mà không cần phải mở tệp, do đó có thể vượt qua các cơ chế bảo vệ như Protection View của MS Word.

Lỗ hổng này đã được ghi nhận sử dụng trong các chiến dịch tấn công trên toàn cầu và hiện chưa có bản vá.

Mã khai thác đã được công bố trên Internet: https://github.com/chvancooten/follina.py

Microsoft đã đưa ra một số cách phòng chống sau 
1. Tắt giao thức URL của MSDT 


Cảnh báo: thay đổi Registry có thể dẫn đến nhiều lỗi nghiêm trọng.

Tìm ứng dụng “Command Prompt” và chạy dưới quyền Administrator. ​​​​​​​

Sao lưu Registry để khôi phục nếu có lỗi xảy ra:  

​​​​​​reg export HKEY_CLASSES_ROOT\ms-msdt filename


Chạy lệnh sau để tắt giao thức URL:  

reg delete HKEY_CLASSES_ROOT\ms-msdt /f
 

Để khôi phục registry khi có lỗi xảy ra

reg import filename

2. Sử dụng Microsoft Defender Detections & Protections
Bật tính năng “Cloud-delivered protection” của Windows Security để được bảo vệ. Theo quan sát, chức năng này đã được bật theo chính sách mặc định trên các máy tính được phòng IT cấp.

Để bật hoặc xác nhận chức năng này đã được bật, thực hiện theo các bước sau đây:

Mở Windows Security, chọn “Virus & threat protection”

Trong mục “Virus & threat protection settings”, chọn “Manage settings”

Bật chức năng “Cloud-delivered protection” hoặc xác nhận chức năng đã được bật.


3. Tắt chức năng Preview Panel trong File Explorer

Tài liệu tham khảo 
https://www.tenable.com/blog/cve-2022-30190-zero-click-zero-day-in-msdt-exploited-in-the-wild

https://socprime.com/blog/follina-vulnerability-detection-new-microsoft-office-zero-day-exploited-in-the-wild/

https://thehackernews.com/2022/05/chinese-hackers-begin-exploiting-latest.html

https://msrc-blog.microsoft.com/2022/05/30/guidance-for-cve-2022-30190-microsoft-support-diagnostic-tool-vulnerability/