Nimetus: CVE-2022-30190 või Follina. Rahvusvaheline turvanõrkuse riskiskoor: 7.8/10
Mai lõpus avastati ühest analüüsikeskkonnast pahaloomuline Wordi dokument. Dokumendi uurimise käigus selgus, et see võimaldab ründajale pahavara käivitanud kasutaja õigustes koodi kaugkäitust mõjutatud Windowsi operatsioonisüsteemidest. Dokumendi tegi eriliseks aga asjaolu, et pahaloomulise koodi käivitamiseks kasutati legitiimset Windowsi tööriista (Microsoft Diagnostic Tool). Tegu oli turvanõrkusega, mille jaoks väljastas Microsoft 30. mail ametliku hinnangu. Turvapaiga paikamiseni kulus siiski ligi kaks nädalat. Ohustatud on kõik kasutajad, kes kasutavad Microsoft Office 2013, 2016, 2019 ja 2021 tarkvara ning paikamata Windowsi operatsioonisüsteeme, mis saavad veel turvauuendusi1.
Mõju maailmas ning Eestis
Turvanõrkust üritatakse hetkel maailmas aktiivselt kuritarvitada. Mitmel juhul on sihtmärkideks valitud Euroopa ja USA ametiasutused2 ning mitmed riikidega seostatavad küberrühmitused on üritanud seda ära kasutada3 4. Ründekatseid on märganud näiteks ka Ukraina CERT5 6. Samuti üritatakse turvanõrkuse abil ohvrite seadmetesse paigaldada Qakboti (Qbot) pahavara7, mille abil varastatakse kasutajatunnuseid ja meilivestluseid. Suure tõenäosusega jätkatakse turvanõrkuse ärakasutamise katseid ka tulevikus.
CERT-EEle ei ole siiani teada ühtegi juhtumit, mille puhul oleks pahalastel õnnestunud Eesti küberruumis seda turvanõrkust kuritarvitada. Siiski juhime tähelepanu sellele, et pahavara käivitamine ei eelda makrode kasutamist ega teatud tingimustel isegi pahaloomulise faili avamist. Microsoft väljastas 14.06.2022 mõjutatud süsteemidele ametliku turvapaiga8. Tuletame kasutajatele meelde, et hoolimata erinevatest kaitsemeetmetest, tuleb olla kahtlaste kirjade puhul väga ettevaatlik. Paraku ei suuda viirusetõrjetarkvarad tuvastada kõiki erinevaid pahavarade versioone, mida ründajad kasutavad. Arvestades lisaks, kui laialdaselt Microsoft Office’i tooteid Eestis kasutatakse, kujutab turvanõrkus potentsiaalset ohtu nii tavakasutajatele kui ka erinevatele organisatsioonidele Eestis.
Turvanõrkuse kirjeldus ning kuidas seda ära kasutatakse
Algsete näidiste puhul üritati esmalt alla laadida välisest veebiserverist HTMLi fail. Viide sellele failile asus document.xml.rels nimelises failis, mis kirjeldab manusobjektide (embedded objects) kasutamist dokumendis. Manusobjekte kasutab Office’i tarkvara näiteks Exceli tabelite lisamisel Wordi dokumenti9.
HTMLi faili sisu käivitati omakorda MSDT protokolli URI skeemiga. MSDT protokolli10 kasutatakse Windowsi operatsioonisüsteemis veateadete edastamiseks Microsofti kasutajatukke. Paraku õnnestub sellega käivitada ka ohvri seadmes pahaloomulisi Powershelli käske.
Mai lõpus avastatud näidise puhul tuvastati, et HTMLi faili oli lisatud rida väljakommenteeritud A tähti11. See tundus uurijatele veider, sest kommentaarid ühtegi protsessi ei käivita. Hiljem selgus, et pahavara käivitamiseks olid need tähed siiski hädavajalikud. Nimelt pidi HTML fail olema vähemalt 4096 baiti suur, et Microsofti HTMLi moodul seda töötleks. Kuna pahaloomulised koodiread moodustasid kokku alla 4096 baidi, oli koodi lisaks sisse kirjutatud kommentaaridena ka just needsamad A tähed. Seetõttu sarnaneb Follina turvanõrkus omapäralt haavatavusele CVE-2021-40444, millest on täpsemalt kirjutatud SIIN.
Viimastel aastatel on palju räägitud makrodest, mida pahaloomulised Microsoft Office’i failid kasutavad pahavara käivitamiseks. Microsoft teatas sel aastal, et blokeerib vaikimisi makrode kasutamise Office’i failide puhul, mis pärinevad internetist12. Paraku ei kasuta Follina turvanõrkust kuritarvitav pahavara makrosid, seega ei ole Microsofti kaitsemeetmest siin kasu. Selleks, et pahavara käivituks, peab ohver pahaloomulise Wordi dokumendi avama ja lubama selle redigeerimise.
Ründajal on võimalik pahavara ohvri seadmes käivitada ka selliselt, et ohver ei avagi pahaloomulist dokumenti. Selle jaoks kasutatakse RTF vormingus faili. RTF ehk Rich Text Format on Microsofti loodud vorming, mida suudavad avada paljud erinevad rakendused. Seega kasutatakse seda peamiselt tekstide redigeerimiseks erinevate tekstitöötlustarkvarade vahel. Pahalastel õnnestub RTF faile kuritarvitada aga nii, et pahavara käivitamiseks ei ole ilmtingimata vajalik pahaloomulise dokumendi avamine. Kui kasutajal on Windowsi operatsioonisüsteemis eelvaatepaan (preview pane) lubatud, parsitakse pahaloomulise dokumendi sisu automaatselt ja tema süsteem ongi halvimal juhul kompromiteeritud.
Ühe võimaliku ründe iseloomustus
- Kasutaja saab kirja, mille manusesse on lisatud pahaloomuline dokument.
- Kasutaja laeb selle alla enda lokaalsesse süsteemi.
- Pahavara käivitamiseks ohvri masinas on kaks võimalust ning see sõltub sellest, kuidas ründaja on asjale lähenenud:
- ohver laadis alla Wordi dokumendi, avab selle ja lubab redigeerimise. Kuna pahavara ei kasuta makrosid, siis käivitatakse see juba redigeerimise lubamisel (Pilt1, Pilt2);
- ohver laadis alla pahaloomulise RTF faili. Ta liigub süsteemis faili allalaadimiskausta ja teeb faili aktiivseks. Selle tagajärjel käivitub pahavara, kui kasutatakse eelvaatepaani (preview pane)13.
Kõik oleneb muidugi ka süsteemile rakendatud kaitsemeetmetest – kas viirusetõrjetarkvaral õnnestub pahaloomuline fail kahjutuks teha, kas süsteemiga seotud tulemüür suudab ohtu tõrjuda jne. Testimise käigus tuli meil näiteks Windows 10 operatsioonisüsteemi viirusetõrjetarkvara välja lülitada, kuna pahaloomulise koodi käivitamine ei olnud muul viisil võimalik. See aga ei tähenda, et viirusetõrjetarkvara suudab igal korral ohte tõrjuda – ründajad on leidlikud ja leiutavad pidevalt uusi versioone pahavaradest, et viirusetõrjetarkvarad neid ei tuvastaks.
Soovitused
- Rakendage esimesel võimalusel väljastatud turvapaik mõjutatud süsteemidele14. Kui süsteemides on automaatne uuendamine lubatud, ei pea turvapaika manuaalselt installeerima.
- Kui organisatsioon on veendunud, et RTF failid ei ole teile vajalikud, soovitame meilifiltrite abil sellised kirjad blokeerida, mille manusesse on RTF failid lisatud.
- Microsoft on avalikustanud alternatiivse vastumeetme15, millega enda süsteeme selle turvanõrkuse eest kaitsta. Soovitame sellega tutvuda, hinnata rakendamise võimalikkust ja võimalusel seda kasutada, kui turvapaiga rakendamine ei ole võimalik.
- Koolitada enda organisatsiooni töötajaid mitte salvestama ega avama kahtlaste kirjade manuseid, vaid need kustutama või suunama sellised kirjad infoturbeosakonda. Kui selline võimalus puudub, aitab CERT-EE alati kahtlaste kirjade analüüsimisega.
Kuidas sai turvanõrkus endale Follina nime?
Rahvusvahelises kogukonnas tuntakse nõrkust ka nimega “Follina”. Sellise nimetuse andis haavatavusele üks esimesi turvanõrkuse analüüsijaid. Ta märkas, et pahaloomulise Wordi dokumendi nimetuses olid numbrid 0438. Kuna seda numbrikombinatsiooni kasutab suunakoodina Follina-nimeline piirkond Itaalias, andiski ta turvanõrkusele just taolise nime16. Sel hetkel puudus turvanõrkusel CVE tähis, seega kinnistus selline nimetus mitteametlikult paljude uurijate ja teemast huvitunute seas.
Viited
1https://www.bleepingcomputer.com/news/security/microsoft-patches-actively-exploited-follina-windows-zero-day/
2https://www.bleepingcomputer.com/news/security/windows-zero-day-exploited-in-us-local-govt-phishing-attacks/
3https://threatpost.com/follina-exploited-by-state-sponsored-hackers/179890/
4https://www.bleepingcomputer.com/news/security/windows-msdt-zero-day-now-exploited-by-chinese-apt-hackers/
5https://cert.gov.ua/article/40559
6https://cert.gov.ua/article/160530
7https://isc.sans.edu/forums/diary/TA570+Qakbot+Qbot+tries+CVE202230190+Follina+exploit+msmsdt/28728/
8https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-30190
9https://billdemirkapi.me/unpacking-cve-2021-40444-microsoft-office-rce/
10https://docs.microsoft.com/en-us/windows-server/administration/windows-commands/msdt
11https://www.huntress.com/blog/microsoft-office-remote-code-execution-follina-msdt-bug
12https://docs.microsoft.com/en-us/deployoffice/security/internet-macros-blocked
13https://isc.sans.edu/forums/diary/Quickie+Follina+RTF+Explorer+Preview+Pane/28734
14https://www.bleepingcomputer.com/news/security/microsoft-patches-actively-exploited-follina-windows-zero-day/
15https://msrc-blog.microsoft.com/2022/05/30/guidance-for-cve-2022-30190-microsoft-support-diagnostic-tool-vulnerability/
16https://doublepulsar.com/follina-a-microsoft-office-code-execution-vulnerability-1a47fce5629e