Cómo fortiedr protege contra la vulnerabilidad del protocolo de Microsoft Office CVE-2022-30190 ‘Follina’

Consulta técnica sobre FortiEDR

Descripción

 

Este artículo demuestra cómo FortiEDR brinda protección contra el comportamiento posterior a la explotación asociado con la vulnerabilidad CVE-2022-30190.

 

El 28 de mayo de 2022, el usuario de Twitter nao_sec identificó un documento de Word anómalo enviado desde Bielorrusia que explota una nueva vulnerabilidad en los protocolos de MS Office. Esta vulnerabilidad permite la ejecución remota de código desde documentos de Microsoft Word o RTF.

 

Esta ejecución remota de código, cuando se combina con métodos comunes de acceso inicial, como el phishing, proporciona un nivel de acceso similar que se obtiene más comúnmente mediante el uso de macros. Dada la reciente represión de las macros por parte de Microsoft , se espera que los actores empleen métodos alternativos para lograr la ejecución, como la explotación de esta vulnerabilidad.

 

Alcance

 

Las protecciones cubren los recopiladores de la versión 4.x y 5.x.

 

Solución

 

La muestra inicial requiere que el usuario abra el archivo adjunto malicioso para que el exploit funcione; sin embargo, con una mayor investigación, los investigadores han identificado que esta vulnerabilidad también se puede explotar a través del «panel de vista previa» en el Explorador de Windows, lo que hace que esta vulnerabilidad sea «clic cero».

 

Si bien el código PoC y las muestras de ITW que circulan actualmente se centran en la explotación de Microsoft Word y el explorador de Windows, esta vulnerabilidad está presente en los protocolos de MS Office utilizados en toda la suite de Microsoft Office. Como resultado, se debe esperar, al igual que con la franja de vulnerabilidades de Exchange encontradas el año pasado, que se identifiquen vulnerabilidades adicionales en otros productos o aplicaciones de Microsoft Office que emplean estos protocolos en los próximos meses.

 

Detección y protección de FortiEDR: explotación iniciada por el usuario

Para demostrar la cobertura de FortiEDR de este exploit, se creó un documento de Microsoft Word (.docx) que contenía un código de exploit que devolvía la llamada al loopback en la «víctima» de prueba. Se configuró un servidor web de prueba para servir una carga útil ficticia en respuesta a la devolución de llamada de explotación que escribió un archivo de prueba en un escritorio de usuario simulado.

Artículos relacionados  Se detectó lentitud en los nuevos sistemas Dell después de que falló la actualización del software de Dell

 

La comunidad de seguridad cibernética ya ha documentado los detalles del exploit. Encuentre información sobre las maquinaciones técnicas del exploit en la publicación del blog de Kevin Beaumont o en la página web de los equipos de Huntress .

 

Cuando se creó el documento de prueba malicioso, se activaron tres eventos de seguridad de FortiEDR en varias etapas de la ejecución del exploit, todos estaban relacionados con el comportamiento de un script que se ejecutaba en un contexto sospechoso y se desencadenaron desde la política de seguridad de ‘Prevención de ejecución’. Todos estos eventos detectados habrían resultado en la falla del exploit.

 

 

Figura 1. FortiEDR muestra la cadena de procesos anómalos asociados con la explotación de la vulnerabilidad de Follina.

 

La captura de pantalla en la Figura 2 a continuación muestra la interfaz forense de FortiEDR ‘Stacks View’. Esta vista nos permite ver los argumentos de cmdline pasados ​​a la Herramienta de diagnóstico de Microsoft (msdt.exe) que coinciden con la «carga útil maliciosa» servida por la página web maliciosa simulada alojada en localhost.

 

 

Figura 2. Vista de pilas de FortiEDR que muestra los argumentos de la línea de cmd para el proceso msdt.exe que contiene la «carga útil maliciosa» simulada recuperada de una página web maliciosa simulada.

 

La figura final, Figura 3, que se muestra a continuación, muestra el tercer evento de seguridad que muestra la creación de un proceso secundario para el comando ‘echo’ que formó la parte final de la ‘carga útil maliciosa’ simulada.

 

 

Figura 3. Tercer evento de seguridad de FortiEDR generado a partir de la ejecución de los exploits de texto que muestra la ejecución de la «carga útil maliciosa simulada».

Artículos relacionados  Pasos para grabar fortiedr en una imagen Preguntas y respuestas

 

Mitigaciones

FortiEDR brindará protección contra la explotación de esta vulnerabilidad y la posterior actividad posterior a la explotación. Al 31 de mayo de 2022, Microsoft no ha publicado un parche que solucione este problema.

Hasta que se publique un parche adecuado, aquí se puede encontrar orientación adicional sobre cómo fortalecer los puntos finales contra la explotación a través de soluciones alternativas:  https://msrc-blog.microsoft.com/2022/05/30/guidance-for-cve-2022-30190-microsoft -soporte-diagnóstico-…

Conclusión

Si bien esta vulnerabilidad es significativa, debe considerarse en el contexto de una intrusión total. Para que esta vulnerabilidad se explote en un entorno de destino, un actor de amenazas debe entregar un documento malicioso adecuado a una víctima, y ​​el usuario debe descargar y abrir o pasar el mouse sobre el documento malicioso para que se ejecute.

 

El filtrado de correo electrónico puede evitar que el documento malicioso llegue a la víctima (por ejemplo, FortiMail).

Incluso después de una explotación exitosa, las muestras observadas en la naturaleza se remontan al adversario C2 para descargar cargas útiles secundarias. Si este C2 se conoce y se ingiere automáticamente en los firewalls (como a través de FortiGate o FortiAnalyzer con la suscripción de inteligencia de amenazas de FortiGuard Labs), esta conexión C2 se bloqueará o, como se describe en este artículo, las conexiones de red a C2 deben bloquearse mediante una solución EDR como FortiEDR. .

 

Por último, esta vulnerabilidad demuestra un método de ejecución de código, pero cualquier actividad posterior a la explotación debe ser bloqueada por una solución EDR como FortiEDR.

Consultas de búsqueda de amenazas

Las siguientes consultas de búsqueda de amenazas se pueden utilizar para identificar la posible actividad de punto final asociada con la explotación de la vulnerabilidad descrita anteriormente.

 

Esta consulta identificará la herramienta de diagnóstico de Microsoft (msdt.exe) que se genera a partir de los procesos de Microsoft Office. Si bien los POC actuales solo demuestran la explotación de WINWORD a través de esta vulnerabilidad, la consulta se ha ampliado para cubrir la explotación futura en otras aplicaciones comunes de Microsoft Office. Esta consulta tiene una baja tasa de falsos positivos en el entorno de prueba.

Artículos relacionados  Problema de rendimiento con la aplicación o el sistema operativo fortiedr

 

 

 

Type:"Process Creation" AND Target.Process.Name:"msdt.exe" AND (Source.Process.Name:"WINWORD.exe" OR Source.Process.Name:"POWERPNT.exe" OR Source.Process.Name:"EXCEL.exe" OR Source.Process.Name:"OUTLOOK.exe")

 

 

 

Esta consulta identificará el proceso de host nativo de diagnóstico con secuencias de comandos (sdiagnhost.exe) que se genera desde la herramienta de diagnóstico de Microsoft (msdt.exe).

Esta consulta tiene una baja tasa de falsos positivos en el entorno de prueba.

 

 

 

Type:"Process Creation" AND Target.Process.Name:"sdiagnhost.exe" AND Source.Process.Name:"msdt.exe"

 

 

 

La consulta identificará un proceso de host de consola (conhost.exe) generado a partir del proceso de host nativo de diagnóstico con secuencias de comandos (sdiagnhost.exe).

Esta es una consulta de confianza alta con una tasa positiva baja en el entorno de prueba.

Esta detección funciona para todas las variantes de carga útil probadas, es decir, comandos cmd, comandos de PowerShell y cargas útiles ejecutables.

 

 

 

Type:"Process Creation" AND Target.Process.Name:"conhost.exe" AND Source.Process.Name:"sdiagnhost.exe"

 

 

 

Esta consulta identificará un proceso de la herramienta de diagnóstico de Microsoft (msdt.exe) que genera argumentos cmdline indicativos de esta técnica de explotación. La investigación de PoC actual no ha identificado una forma para que un adversario ofusque esta llamada de línea de comando, por lo que este es un indicador de muy alto nivel sin que se observen falsos positivos en el entorno de prueba.

 

 

 

Type:"Process Creation" AND Target.Process.Name:"msdt.exe" AND (Target.Process.CommandLine:"ms-msdt:-id" OR Target.Process.CommandLine:"ms-msdt:/id")

 

 

¡Déjanos cualquier duda sobre FortiEDR aquí abajo!

¿Te ha resultado útil??

0 / 0

Deja una respuesta 0

Your email address will not be published. Required fields are marked *