Follina Vulnerability. Come combatterla.
Follina Vulnerability. Come combatterla.
Questa vulnerabilità consente ad un hacker di eseguire codice arbitrario utilizzando un documento Word dannoso. Può essere sfruttata quando il Microsoft Support Diagnostic Tool (MSDT) viene chiamato da un’applicazione Microsoft Office utilizzando il protocollo URL. MSDT (Microsoft Support Diagnostic Tool) è uno strumento di diagnostica e risoluzione dei problemi integrato nel sistema operativo Windows.
Follina Vulnerability. Il suo impatto.
È tracciato come CVE-2022-30190. Consente all’hacker di eseguire codice arbitrario quando un documento Word viene aperto o visualizzato in anteprima su un computer. Una volta eseguita, l’hacker può eseguire comandi PowerShell per installare programmi, visualizzare, modificare o eliminare dati o creare nuovi account. Follina rientra nella categoria di gravità “alta”. Ciò che lo rende più serio è che lo strumento MSDT che raccoglie e invia i dati diagnostici al supporto Microsoft per l’analisi si trova su tutte le versioni del sistema operativo Windows e Windows Server. Senza una strategia di mitigazione, le macchine Windows sono bersagli per coloro che tentano di sfruttare questa vulnerabilità. Microsoft ha riconosciuto la vulnerabilità e suggerito soluzioni alternative per mitigarne l’impatto. Non ha rilasciato una patch ufficiale per risolvere il difetto (al 13 giugno 2022).
Follina Vulnerability. Come rilevarla.
Il monitoraggio dei processi parent-child in esecuzione nell’ambiente è un modo per rilevare il possibile sfruttamento di questa vulnerabilità. Se disponi di una soluzione che controlla i processi di Windows, puoi configurarla per:
- Cercare i sistemi che generano msdt.exe come processo figlio di WINWORD.EXE, EXCEL.EXE, OUTLOOK.EXE o POWERPNT.EXE.
- Cercare IT_BrowseForFile, IT_LaunchMethod e IT_RebrowseForFile se hai abilitato il controllo della riga di comando, poiché non sono parametri comuni.
Follina Vulnerability. Any workarounds?
Microsoft ha suggerito di disabilitare il protocollo URL MSDT come soluzione alternativa per mitigare questa vulnerabilità. Per disabilitare il protocollo MSDT URL:
- Lanciare il prompt dei comandi come amministratore.
- Eseguire il comando seguente per eseguire il backup della chiave di registro:
reg export HKEY_CLASSES_ROOT\ms-msdt <filename>
- eseguire il comando mostrato di seguito:
reg delete HKEY_CLASSES_ROOT\ms-msdt /f
Per annullare il workaround:
- Lancia il prompt dei comandi come amministratore.
- Esegui il comando seguente per ripristinare la chiave di registro:
reg import <filename>
Follina Vulnerability. ADAudit Plus.
Utilizzando i report di tracciamento dei processi esclusivi di ADAudit Plus, puoi verificare se il tuo ambiente è esposto a CVE-2022-30190. Puoi attivare avvisi in tempo reale ogni volta che viene rilevato un tentativo di sfruttamento. ADAudit Plus abilita automaticamente il criterio “Creazione processo di controllo”. Consente di tenere traccia dell’attività di creazione del processo. Per evitare falsi positivi, è necessario abilitare il controllo del processo della riga di comando per garantire che l’evento di creazione del processo (ID evento 4688) includa informazioni sul nome del file eseguibile e sugli argomenti passati.
Non perdere la prossima puntata e consulta la nostra pagina https://www.manageengine.it/active-directory-audit/ Per maggiori informazioni contattaci! Invia una e-mail a sales@bludis.it o chiama lo 0643230077