Follina CVE-2022-30190
Em maio de 2022 foi emitida pela Microsoft a CVE-2022-30190, também reconhecida pelo nome Follina, classificada como uma zero day no Microsoft Defender Vulnerability Management e que permite a execução de código através da exploração do protocolo MSDT (Microsoft Support Diagnostic Tool). Possuindo um score CVSS de 7.8, é considerado de alto risco.
Vulnerabilidade Follina
Ainda de acordo com a Microsoft, a exploração se dá pela execução remota de código quando o MSDT é chamado usando o protocolo de URL de um aplicativo de chamada, como o Word. Um invasor que explorar com êxito essa vulnerabilidade pode executar código arbitrário com os privilégios do aplicativo de chamada. Podendo então instalar programas, visualizar, alterar ou excluir dados ou criar novas contas no contexto permitido pelos direitos do usuário.
Infectando uma máquina vulnerável ao Follina
Utilizando uma ferramenta disponível publicamente no github a msdt-follina, criamos um arquivo Word já com o payload utilizado na exploração do protocolo MSDT, hospedado em um servidor HTTP.
Por estarmos em ambiente de testes, simplesmente baixamos o arquivo malicioso na máquina alvo e o abrimos.
Ao abrirmos o documento contendo o payload, automaticamente o MSDT é executado iniciando uma conexão com a máquina do atacante, fornecendo um reverse shell.
0 comentários: