| Starije izmjene na obje strane
Starija izmjena
Novija izmjena
|
Starija izmjena
|
racfor_wiki:seminari2023:follina_exploit [2024/01/20 19:09]
fkrajina [Tko je sve ranjiv na ovaj napad?] |
racfor_wiki:seminari2023:follina_exploit [2024/12/05 12:24] (trenutno)
|
| ===== Follina napad ===== | ===== Follina napad ===== |
| |
| | ==== MSDT (Microsoft Support Diagnostics Tool) ==== |
| |
| === MS Office dokument (najčešće Word) sa MSDT URI scheme exploitom === | MSDT je alat koji pruža dijagnostičke informacije i analize kako bi korisnička podrška mogla rješavati probleme s Microsoft proizvodima. Ovaj alat omogućava prikupljanje informacija o sustavu, postavkama i problemima koji se pojavljuju na računalu te pomaže tehničkoj podršci u identifikaciji i rješavanju problema. Kao i neke druge Microsoftove aplikacije, možemo je pokrenuti i u tražilici ako u URL upišemo "ms-msdt:". Upravo u takvom načinu poziva se skrivala ranjivost koju ćemo dalje detaljnije opisati |
| |
| | ==== MSDT exploit ==== |
| |
| Napadač iskorištava mogućnost MS Office-a da prikazuje externe linkove (npr. tablice sa wikipedie) u jednom dokumentu. Postavlja jedan takav link u word/_rels/document.xml.rels XML datoteku koji se poziva ćim se pokrene Word dokument. Taj URL dohvaća HTML u kojem je maliciozan javascript koji iskorištava MSDT URI scheme ranjivost. To znači da možemo izvršiti Powershell komande nakon postavljanja određenih parametara u pozivu. | {{ :racfor_wiki:seminari2023:ms-follina-exploit-view.jpg?600 |}} |
| | |
| | |
| | Napadač iskorištava mogućnost MS Office-a da prikazuje externe web sadržaje(npr. tablice sa wikipedie) u jednom dokumentu. Postavlja jedan takav link u word/_rels/document.xml.rels XML datoteku koji se poziva ćim se pokrene Word dokument. Taj URL dohvaća HTML u kojem je maliciozan javascript koji iskorištava MSDT URI scheme ranjivost. To znači da možemo izvršiti Powershell komande nakon postavljanja određenih parametara u pozivu. |
| |
| Maliciozan javascript: | Maliciozan javascript: |
| '' location.href = "ms-msdt:/id PCWDiagnostic /skip force /param \\"IT_RebrowseForFile=? IT_LaunchMethod=ContextMenu IT_BrowseForFile=$(Invoke-Expression($(Invoke-Expression('[System.Text.Encoding]'+[char]58+[char]58+'UTF8.GetString([System.Convert]'+[char]58+[char]58+'FromBase64String('+[char]34+'{base64_payload}'+[char]34+'))'))))i/../../../../../../../../../../../../../../Windows/System32/mpsigstub.exe\\;'' | '' location.href = "ms-msdt:/id PCWDiagnostic /skip force /param \\"IT_RebrowseForFile=? IT_LaunchMethod=ContextMenu IT_BrowseForFile=$(Invoke-Expression($(Invoke-Expression('[System.Text.Encoding]'+[char]58+[char]58+'UTF8.GetString([System.Convert]'+[char]58+[char]58+'FromBase64String('+[char]34+'{base64_payload}'+[char]34+'))'))))i/../../../../../../../../../../../../../../Windows/System32/mpsigstub.exe\\;'' |
| |
| Konkretnije, iskorištavamo ranjivost u IT_BrowseForFile parametru, ali nažalost nisam na internetu uspio pronaći zašto to baš tako radi, jer bi MSDT prije nego što se dopusti runnanje koda trebao pitati za šifru koju nam je dao IT support. Svi ovi parametri na neki način zaobilaze tu početnu proceduru. | Konkretnije, iskorištavamo ranjivost u IT_BrowseForFile parametru koji se ne validira dobro i na koncu omogućava izvršavanje proivoljnih Powershell komandi. Nažalost, informacije na internetu o konkretnoj ranjivosti su dosta šture. |
| |
| U "{base64_payload}" ubacimo powershell komande u base64 formatu. | U "{base64_payload}" ubacimo powershell komande u base64 formatu. |
| Kada napadač dobije pristup žrtvinom računalu može raditi što god hoće u skladu sa žrtvinim privilegijama na računalu: može instalirati ransomware, rudatiti kriptovalute, ukrasti podatke, izbrisati ih, može se širiti na druga računala u mreži, dodati računalo u botnet mrežu, itd... | Kada napadač dobije pristup žrtvinom računalu može raditi što god hoće u skladu sa žrtvinim privilegijama na računalu: može instalirati ransomware, rudatiti kriptovalute, ukrasti podatke, izbrisati ih, može se širiti na druga računala u mreži, dodati računalo u botnet mrežu, itd... |
| |
| Ovaj napad može biti praktički neprimjetan, u Word dokumentu možemo napisati nekakvu naizgled benignu poruku, dohvatiti maliciozan javascript, pokrenuti msdt, odmah ga ugasiti, pokrenuti cmd u skrivenom načinu rada i raditi što god nas je volja dok god ne uznemirujemo naš antivirusni program. | Ovaj napad može biti praktički neprimjetan: u Word dokumentu možemo napisati nekakvu naizgled benignu poruku, dohvatiti maliciozan javascript, pokrenuti msdt, odmah ga ugasiti, pokrenuti cmd u skrivenom načinu rada i raditi što god nas je volja dok god ne uznemirujemo žrtvin antivirusni program. |
| |
| {{ :racfor_wiki:seminari2023:ms-follina-exploit-view.jpg?600 |}} | Također, ovaj napad može raditi i u zero-click načinu rada: u scenariju gdje je vrsta datoteke RTF (Rich text Format), Windows Explorer će automatski otvoriti datoteku u preview načinu i pokrenuti maliciozan kod. Ovo uklanja jedan sloj zaštite koji bi spriječio slučajno pokretanje sumnjive zlonamjerne datoteke. |
| |
| |
| |
| |
| ===== Zaključak ===== | |
| |
| |
| | ===== Zaključak ===== |
| | |
| | Možemo zaključiti da MS Office alati još uvijek nisu na sigurnosnom nivou na kakvom bi trebali biti. Ovo nije prva (najvjerojatnije ni zadnja) kritična ranjivost otkrivena u Officeu. Većina laika, a ponekad i nas stručnjaka, misle da ako su dobili datoteku koja na prvu izgleda benigno, kao što je Word, Excel ili PDF datoteka, mogu downloadti i pokrenuti bez straha da je ona maliciozna. Ovaj slučaj, a i još puno drugih ranjivosti, pokazuje da to nije tako. Za svaku datoteku koju dobijemo putem internata, moramo provjeriti vjerodostojnost pošiljatelja, i ako nam netko bez razloga šalje poštu to prijaviti našem email provideru. |
| ===== Literatura ===== | ===== Literatura ===== |
| |
| [1] [[https://hr.wikipedia.org/wiki/]] | [1] [[https://innovatecybersecurity.com/security-threat-advisory/follina-zero-day-allows-zero-click-rce-from-office-docs/]] |
| | |
| | [2] [[https://www.blackberry.com/us/en/solutions/endpoint-security/security-vulnerabilities/follina-vulnerability]] |
| | |
| | [3] [[https://www.youtube.com/watch?v=dGCOhORNKRk&t=757sy]] |
| | |
| | [4] [[https://www.hackthebox.com/blog/cve-2022-30190-follina-explained]] |
| | |
| | |
| | |
| | |
| | |
| |
| |
| |
| |
