Microsoft Office: 0-day “Follina” MSDT Attack
30 mei 2022
Update:
- 31-05-2022: De 0-day kwetsbaarheid heeft Microsoft geregistreerd onder CVE-2022-30190. Microsoft heeft een update gegeven met aanbevelingen.
Beveiligingsonderzoekers hebben een 0-day kwetsbaarheid geïdentificeerd binnen Microsoft Office dat misbruikt kan worden om Remote Code Execution (RCE) uit te voeren op Windows systemen.
De kwetsbaarheid is aan het licht gekomen nadat een cybersecurity onderzoeksteam, bekend als “nao_sec” , een interessant malware document tegen kwam dat geupload is vanuit Belarus (Wit Rusland). Verschillende bronnen melden (onbevestigd) dat de 0-day kwetsbaarheid actief misbruikt lijkt te worden.
bronnen: Twitter (nao_sec), TheHackerNews.com
Achtergrond
Uit de informatie die nu bekend is lijkt de 0-day kwetsbaarheid gebruik te maken van de Microsoft Support Diagnostic Tool schema (“ms-msdt”) om PowerShell code uit te voeren op het Windows systeem:
Kans en impact
Het is mogelijk dat aanvallers deze 0-day kwetsbaarheid gebruiken in combinatie met e-mail delivery. Uit bronnen blijkt de kwetsbaarheid getriggered kan worden via een “hover preview”. Eindgebruikers dienen hierdoor extra waakzaam te zijn met het openen van e-mailberichten en bijlages.
Succesvol misbruik kan afhankelijk van reeds genomen maatregelen impact hebben dat er Remote Code Execution (RCE) verkregen kan worden.
Advies
Access42 adviseert om de volgende maatregelen te nemen:
- Inschakeling van effectieve een EDR oplossing voor detectie/preventie van (post)exploitatie op endpoints
- Threat Hunting op endpoints:
- Payloads die uitgevoerd worden via deze attack vector maken een child proces aan “msdt.exe” onder het Microsoft Office parent proces. Referenties: Sigma Rules en CrowdStrike hunt query
- Monitoring op het gebruik van ongewenste/onveilige e-mail bijlages
- Maak gebruik van sandboxing technieken
- Extra waakzaamheid op emailberichten met bijlages
- Open Office-bestanden alleen uit bekende en/of vertrouwde bronnen. Zet daarnaast Office-bestanden niet om in RTF-formaat wanneer hier om wordt gevraagd. Bron: NCSC
- Laat eindgebruikers potentieel onveilige e-mailberichten rapporteren bij bijvoorbeeld de IT-afdeling of bij Access42 (als managed dienst)
- Egress filtering toepassen
- Sta alleen het noodzakelijke netwerkverkeer toe
- Blokkeer MSDTC en SMB (135 en 445) verkeer
- Blokkeer C&C verkeer naar de volgende URL/IP-adressen
- www.xmlformats[.]com (141[.]105.65.149)
Workaround
- 31-05-2022: Microsoft heeft een update gegeven met een workaround. Meer informatie.
Meer informatie
- NCSC
- SANS ISC
- Twitter nao_sec
- TheHackerNews
- Huntress blog artikel
- Reddit BlueTeamSec
- VirusTotal