Logo Zephyrnet

Follina đã được sửa - nhưng nó không được liệt kê trong các bản vá Patch Tuesday!

Ngày:

Một vài giờ trước, chúng tôi đã ghi lại podcast Bảo mật khỏa thân của tuần này, ngay trên chính bản vá thứ ba.

Chỉ sau 18:00 giờ Vương quốc Anh khi chúng tôi nhấn mic, có nghĩa là chỉ sau 10:00 giờ Microsoft HQ, có nghĩa là chúng tôi có quyền truy cập chính thức của tháng này Cập nhật bảo mật tháng 2022 năm XNUMX bản tin từ chính Redmond ngay trước khi chúng tôi bắt đầu.

Theo bản tin này, các CVE đã sửa trong tháng này, được liệt kê theo thứ tự số tăng dần, như sau:

    CVE-2022-2007 CVE-2022-2008 CVE-2022-2010 CVE-2022-2011 CVE-2022-21123 CVE-2022-21125 [. . . .] CVE-2022-30184 CVE-2022-30188 CVE-2022-30189 <--- chuyển từ CVE-2022-30193 này <--- sang CVE-2022-32230 này

Như bạn có thể thấy, CVE-2022-30190, thường được gọi là Follina, không có trong danh sách.

Chúng tôi đã nói nhiều như vậy trong podcast và suy ra (như chúng tôi mong đợi bạn cũng vậy), rằng Follina không thực sự được coi là một lỗi và do đó chưa được sửa hoặc vẫn đang trong quá trình sửa chữa một số loại sửa chữa mà không sẵn sàng trong thời gian.

Như bạn chắc chắn sẽ nhớ lại (và như chúng tôi sẽ chứng minh và giải thích trong trực tiếp ngày mai Hội thảo trên web về bảo mật Sophos Spotlight), chúng tôi muốn mô tả Follina là:

Một tính năng mà không ai thực sự muốn, kết hợp với một tính năng không ai thực sự cần, để tạo ra một vụ lợi dụng cấy ghép phần mềm độc hại mà không ai thực sự mong đợi.

Nói một cách đơn giản (nhưng hãy tham gia với chúng tôi vào ngày mai cho phiên giải thích biệt ngữ không có biệt ngữ kéo dài 30 phút đó!), Bạn có thể sử dụng Đối tượng Liên kết và nhúng (OLE) hệ thống trong Windows để yêu cầu một tài liệu Office tìm nạp và hiển thị một trang web HTML.

Trong trang web đó, bạn có thể nhúng một chương trình JavaScript ngắn có tham chiếu đến URL độc quyền ít được biết đến của Microsoft bắt đầu ms-msdt: để kích hoạt Công cụ chẩn đoán hỗ trợ của Microsoft (MSĐT).

(Nhân tiện, đây là tính năng mà chúng tôi không thể tưởng tượng có ai thực sự muốn, vì OLE thường được sử dụng để kéo hình ảnh vào bản trình bày hoặc để nhúng dữ liệu bảng tính trực tiếp vào tài liệu, không phải để bắt đầu kiểm tra phần mềm cho các ứng dụng được cài đặt cục bộ.)

Thật không may, điều đó ms-msdt: URL không chỉ có thể được sử dụng để kích hoạt ứng dụng MSDT mà còn để cung cấp thông số cho nó, vì vậy người dùng không cần chọn cài đặt khắc phục sự cố từ các menu thông thường, bao gồm xác định trước ứng dụng cần kiểm tra bằng cách cung cấp đường dẫn chính xác của nó và tên tệp.

Và trong tên tệp đó, bạn có thể nhúng một “lệnh siêu tốc” (hơi giống như Nhật ký4Shell hoặc gần đây Hợp lưu Atlassian lỗi) bị chôn vùi bên trong một $(...) dãy ký tự.

Trình tự kỳ lạ đó $(...)dường như bị bỏ qua khi hệ thống kiểm tra xem ứng dụng được đặt tên có tồn tại hay không, vì vậy mặc dù không có bất kỳ ứng dụng nào có $(...) trong tên của chúng có thể khớp với các ký tự đó và mặc dù trình khắc phục sự cố sẽ được bảo trợ tại thời điểm này, bạn không gặp lỗi và Windows vẫn tiếp tục hoạt động.

Nhưng khi hệ thống thực sự bắt đầu khắc phục sự cố, tên tệp kỳ lạ đó dường như được xử lý lại và chuỗi ký tự bên trong $(...) điểm đánh dấu không được sử dụng theo nghĩa đen.

Thay vào đó, nó được thực thi dưới dạng lệnh PowerShell nó phải tạo ra văn bản sẽ thực sự được sử dụng tại thời điểm đó trong tên tệp.

(Tất nhiên, đó là tính năng mà chúng tôi không thể tưởng tượng được có ai thực sự cần đến nó, hữu ích và “chủ động” như nó có vẻ như vào thời điểm đó không.)

Chạy-những-gì-bạn-muốn

Nói một cách dễ hiểu, mã PowerShell được nhúng có thể làm bất cứ điều gì bạn muốn, từ bật lên một máy tính để mở một trình bao ngược lại cho một tội phạm mạng đang chờ đợi (vâng, chúng tôi sẽ chỉ cho bạn phần đó như thế nào hoạt động trong bản demo và cách ngăn nó xảy ra).

Bạn thậm chí không cần phải mở một tệp bị mắc kẹt trong chính Word, vì chỉ cần cuộn đến tệp RTF trong File Explorer với Xem trước Pane bật là đủ.

Như bạn thấy ở đây, di chuyển con trỏ đến tệp thử nghiệm của chúng tôi t1.rtf mở ra Trình gỡ rối Windows tự động và bật lên một máy tính mà không có bất kỳ cảnh báo nào hoặc Are you sure? , dựa trên URL JavaScript lén lút trong tệp HTML bị bẫy bởi booby được tải bởi tài liệu bị bẫy của chúng tôi:

Đã sửa sau tất cả

Đã ghi lại podcast, dựa trên phần nói trên Cập nhật bảo mật tháng 2022 năm XNUMX bản tin, chúng tôi đã kiểm tra với trang web chị em của chúng tôi, Sophos News, nơi SophosLabs sau đó đã xuất bản phân tích của riêng mình về bản tin bảo mật đó, bao gồm các CVE trong danh sách chính thức trong chi tiết hữu ích.

Nhưng SophosLabs đồng ý: vẫn không có dấu hiệu rõ ràng nào cho thấy CVE-2022-30190 đã được tham dự!

Dù sao, một thời gian ngắn sau đó, chúng tôi nhận thấy các báo cáo rằng lỗi Follina dường như đã được "sửa".

Vì vậy, chúng tôi đã cài đặt Bản cập nhật tích lũy 2022-06 dành cho Windows 11 cho x64 (KB5014697), đã khởi động lại…

… Và lần này, mặc dù việc xem trước RTF bị mắc kẹt của chúng tôi đã kích hoạt tải xuống web và khởi chạy trình khắc phục sự cố, Công cụ chẩn đoán dường như phát hiện ra $(...) trình tự trong đặc tả tên tệp là một giá trị không hợp lệ và tạo ra lỗi 0x80070057, mã số cho INVALID_PARAMETER:

Vì vậy, theo như chúng ta có thể thấy, Bản vá thứ ba tháng 2022 năm XNUMX đã ngăn chặn lỗi này, ít nhất là trong thử nghiệm ngắn gọn của chúng tôi.

Để đảm bảo rằng bản cập nhật thực sự là thay đổi đã thực hiện thủ thuật, chúng tôi đã gỡ cài đặt KB5014697 và hành vi có thể khai thác xuất hiện lại.

Do đó, lỗi CVE-2022-30190 dường như đã được Microsoft công nhận là một lỗ hổng bảo mật thực sự và nó đã được vá, ngay cả khi bạn không chắc chắn về điều đó khi bắt đầu.

Không có gì.


tại chỗ_img

Tin tức mới nhất

tại chỗ_img