فولینا، جدید ترین آسیب پذیری Microsoft است که با CVE-2022-30190 نام گذاری شده است و در تاریخ 2022/05/31 کشف شده است که باعث ایجاد دسترسی RCE (Remote Code Execution) میشود که بسیار آسیب پذیری خطرناکی میباشد.
وقتی در محصولات مایکروسافتی مثل Word, Outlook, Excel از مبحث Remote Template Feature استفاده کنیم، میتوانیم یک فایل HTML را از یک وبسرور بگیریم و اجرا کنیم و این قابلیت از طریق پروتکل MS-MSDT اجرا میشود.
این قابلیت حتی در زمانی اجرا میشود که در محصولات مایکروسافتی Micro غیر فعال است!
فرد نفوذگر با استفاده از یک فایلی مانند ورد میتواند درخواستی که میخواهد در سیستم ما انجام شود را انجام دهد و این کار هم میتواند با باز کردن فایل ورد در سیستم قربانی و یا بدون باز کردن فایل انجام شود.
بعد از باز کردن فایل آلوده متعلق به محصولات مایکروسافت، ممکن است هر پراسسی در ویندوز اجرا شود.
در لاگ های SYSMON وEvent Id شماره 1، عبارت MSDT مشخص میشود و با سرچ این کلیدواژه میتوانیم تمامی لاگ های مرتبط با این پروتکل را شناسایی و بررسی کنیم.
اگر این آسیب پذیری به صورت Remote از راه دور انجام شود، میتواینم از Event Id 3 هم این حملات را تشخیص دهیم.
میتوانیم در Process های ویندوز، Process با نام MSDT را ببینیم که معمولا در زیرمجموعه PowerShell اجرا میشود و همینطور پراسسی با نام sdiaghost.exe بوجود میآید که این Process یک برنامه با نام conhost.exe را اجرا میکند.
درصورتی که در لیست Process های ویندوز، Process_name برابر msdt.exe بود و process_parent_name آن برابر یکی از موارد زیر بود، باید به این پراسس مشکوک شد و از دید امنیتی آن را بررسی کرد.
وقتی این آسیب پذیری اجرا شود، یک سری فایل های .dll در پراسس های ویندوزی اجرا میشوند که باید بعد از دیدن آنها از Safe بودن آنها اطمینان حاصل کرد که parant این dll ها همان فایل مایکروسافتی مخرب میباشد.
از event id 7 در SYSMON که لاگ های dll ها را به ما نشان میدهد میتوانیم برای تشخیص استفاده کنیم.
یکی از روش ها برای جلوگیری از این آسیب پذیری، باید به صورت کلی کلید های رجیستری این پروتکل را غیرفعال کنیم:
برای این کار در مسیری که در تصویر مشخص شده است در Registry های ویندوز میرویم و کلید های رجیستری مرتبط با آن را پاک کنیم تا این آسیب پذیری برروی سیستم ایجاد نشود.