Consulta técnica sobre FortiEDR
Descripción
Este artículo demuestra cómo FortiEDR brinda protección contra el comportamiento posterior a la explotación asociado con la vulnerabilidad CVE-2022-30190.
El 28 de mayo de 2022, el usuario de Twitter nao_sec identificó un documento de Word anómalo enviado desde Bielorrusia que explota una nueva vulnerabilidad en los protocolos de MS Office. Esta vulnerabilidad permite la ejecución remota de código desde documentos de Microsoft Word o RTF.
Esta ejecución remota de código, cuando se combina con métodos comunes de acceso inicial, como el phishing, proporciona un nivel de acceso similar que se obtiene más comúnmente mediante el uso de macros. Dada la reciente represión de las macros por parte de Microsoft , se espera que los actores empleen métodos alternativos para lograr la ejecución, como la explotación de esta vulnerabilidad.
Alcance
Las protecciones cubren los recopiladores de la versión 4.x y 5.x.
Solución
La muestra inicial requiere que el usuario abra el archivo adjunto malicioso para que el exploit funcione; sin embargo, con una mayor investigación, los investigadores han identificado que esta vulnerabilidad también se puede explotar a través del «panel de vista previa» en el Explorador de Windows, lo que hace que esta vulnerabilidad sea «clic cero».
Si bien el código PoC y las muestras de ITW que circulan actualmente se centran en la explotación de Microsoft Word y el explorador de Windows, esta vulnerabilidad está presente en los protocolos de MS Office utilizados en toda la suite de Microsoft Office. Como resultado, se debe esperar, al igual que con la franja de vulnerabilidades de Exchange encontradas el año pasado, que se identifiquen vulnerabilidades adicionales en otros productos o aplicaciones de Microsoft Office que emplean estos protocolos en los próximos meses.
Índice
Detección y protección de FortiEDR: explotación iniciada por el usuario
Para demostrar la cobertura de FortiEDR de este exploit, se creó un documento de Microsoft Word (.docx) que contenía un código de exploit que devolvía la llamada al loopback en la «víctima» de prueba. Se configuró un servidor web de prueba para servir una carga útil ficticia en respuesta a la devolución de llamada de explotación que escribió un archivo de prueba en un escritorio de usuario simulado.
La comunidad de seguridad cibernética ya ha documentado los detalles del exploit. Encuentre información sobre las maquinaciones técnicas del exploit en la publicación del blog de Kevin Beaumont o en la página web de los equipos de Huntress .
Cuando se creó el documento de prueba malicioso, se activaron tres eventos de seguridad de FortiEDR en varias etapas de la ejecución del exploit, todos estaban relacionados con el comportamiento de un script que se ejecutaba en un contexto sospechoso y se desencadenaron desde la política de seguridad de ‘Prevención de ejecución’. Todos estos eventos detectados habrían resultado en la falla del exploit.
Figura 1. FortiEDR muestra la cadena de procesos anómalos asociados con la explotación de la vulnerabilidad de Follina.
La captura de pantalla en la Figura 2 a continuación muestra la interfaz forense de FortiEDR ‘Stacks View’. Esta vista nos permite ver los argumentos de cmdline pasados a la Herramienta de diagnóstico de Microsoft (msdt.exe) que coinciden con la «carga útil maliciosa» servida por la página web maliciosa simulada alojada en localhost.
Figura 2. Vista de pilas de FortiEDR que muestra los argumentos de la línea de cmd para el proceso msdt.exe que contiene la «carga útil maliciosa» simulada recuperada de una página web maliciosa simulada.
La figura final, Figura 3, que se muestra a continuación, muestra el tercer evento de seguridad que muestra la creación de un proceso secundario para el comando ‘echo’ que formó la parte final de la ‘carga útil maliciosa’ simulada.
Figura 3. Tercer evento de seguridad de FortiEDR generado a partir de la ejecución de los exploits de texto que muestra la ejecución de la «carga útil maliciosa simulada».
Mitigaciones
FortiEDR brindará protección contra la explotación de esta vulnerabilidad y la posterior actividad posterior a la explotación. Al 31 de mayo de 2022, Microsoft no ha publicado un parche que solucione este problema.
Hasta que se publique un parche adecuado, aquí se puede encontrar orientación adicional sobre cómo fortalecer los puntos finales contra la explotación a través de soluciones alternativas: https://msrc-blog.microsoft.com/2022/05/30/guidance-for-cve-2022-30190-microsoft -soporte-diagnóstico-…
Conclusión
Si bien esta vulnerabilidad es significativa, debe considerarse en el contexto de una intrusión total. Para que esta vulnerabilidad se explote en un entorno de destino, un actor de amenazas debe entregar un documento malicioso adecuado a una víctima, y el usuario debe descargar y abrir o pasar el mouse sobre el documento malicioso para que se ejecute.
El filtrado de correo electrónico puede evitar que el documento malicioso llegue a la víctima (por ejemplo, FortiMail).
Incluso después de una explotación exitosa, las muestras observadas en la naturaleza se remontan al adversario C2 para descargar cargas útiles secundarias. Si este C2 se conoce y se ingiere automáticamente en los firewalls (como a través de FortiGate o FortiAnalyzer con la suscripción de inteligencia de amenazas de FortiGuard Labs), esta conexión C2 se bloqueará o, como se describe en este artículo, las conexiones de red a C2 deben bloquearse mediante una solución EDR como FortiEDR. .
Por último, esta vulnerabilidad demuestra un método de ejecución de código, pero cualquier actividad posterior a la explotación debe ser bloqueada por una solución EDR como FortiEDR.
Consultas de búsqueda de amenazas
Las siguientes consultas de búsqueda de amenazas se pueden utilizar para identificar la posible actividad de punto final asociada con la explotación de la vulnerabilidad descrita anteriormente.
Esta consulta identificará la herramienta de diagnóstico de Microsoft (msdt.exe) que se genera a partir de los procesos de Microsoft Office. Si bien los POC actuales solo demuestran la explotación de WINWORD a través de esta vulnerabilidad, la consulta se ha ampliado para cubrir la explotación futura en otras aplicaciones comunes de Microsoft Office. Esta consulta tiene una baja tasa de falsos positivos en el entorno de prueba.
Type:"Process Creation" AND Target.Process.Name:"msdt.exe" AND (Source.Process.Name:"WINWORD.exe" OR Source.Process.Name:"POWERPNT.exe" OR Source.Process.Name:"EXCEL.exe" OR Source.Process.Name:"OUTLOOK.exe")
Esta consulta identificará el proceso de host nativo de diagnóstico con secuencias de comandos (sdiagnhost.exe) que se genera desde la herramienta de diagnóstico de Microsoft (msdt.exe).
Esta consulta tiene una baja tasa de falsos positivos en el entorno de prueba.
Type:"Process Creation" AND Target.Process.Name:"sdiagnhost.exe" AND Source.Process.Name:"msdt.exe"
La consulta identificará un proceso de host de consola (conhost.exe) generado a partir del proceso de host nativo de diagnóstico con secuencias de comandos (sdiagnhost.exe).
Esta es una consulta de confianza alta con una tasa positiva baja en el entorno de prueba.
Esta detección funciona para todas las variantes de carga útil probadas, es decir, comandos cmd, comandos de PowerShell y cargas útiles ejecutables.
Type:"Process Creation" AND Target.Process.Name:"conhost.exe" AND Source.Process.Name:"sdiagnhost.exe"
Esta consulta identificará un proceso de la herramienta de diagnóstico de Microsoft (msdt.exe) que genera argumentos cmdline indicativos de esta técnica de explotación. La investigación de PoC actual no ha identificado una forma para que un adversario ofusque esta llamada de línea de comando, por lo que este es un indicador de muy alto nivel sin que se observen falsos positivos en el entorno de prueba.
Type:"Process Creation" AND Target.Process.Name:"msdt.exe" AND (Target.Process.CommandLine:"ms-msdt:-id" OR Target.Process.CommandLine:"ms-msdt:/id")
¡Déjanos cualquier duda sobre FortiEDR aquí abajo!
¿Te ha resultado útil??
0 / 0
Hola, somos Mila Jiménez y César Sánchez. Dos apasionados de la ciberseguridad con muchos años de experiencia. Hemos trabajado en muchas empresas del mundo TI y ahora nos apetece compartir nuestro conocimiento con cualquiera que lo necesite.
¡Si te gusta nuestro contenido puedes invitarnos a un café AQUÍ!