Oh, Follina! Изучаем нашумевшую уязвимость в Microsoft Office

Follina по‑сво­ему уни­каль­на. Она не тре­бует акти­вации мак­росов, при этом поз­воля­ет выпол­нять про­изволь­ный код с при­виле­гиями вызыва­юще­го при­ложе­ния. Теоре­тичес­ки запущен­ный вре­донос может изрядно порез­вить­ся в ском­про­мети­рован­ной сис­теме: уста­нав­ливать прог­раммы, прос­матри­вать, изме­нять или уда­лять дан­ные, а еще — соз­давать новые учет­ные записи. При­чем кор­порацию Microsoft опе­ратив­но пре­дуп­редили, что обна­руже­на зияющая дыра в безопас­ности Office, но ком­пания не пред­при­няла по это­му поводу никаких мер, пос­читав угро­зу несерь­езной. Как выяс­нилось, очень нап­расно.

Проб­лема скры­вает­ся в Microsoft Diagnostic Tool (MSDT) — ути­лите, которая собира­ет информа­цию для отправ­ки в служ­бу тех­ничес­кой под­дер­жки Microsoft и фор­миру­ет отче­ты об ошиб­ках. Любопыт­но, что экс­пло­ит мож­но исполь­зовать даже без откры­тия докумен­та Microsoft Word, для это­го дос­таточ­но лишь навес­ти кур­сор мыши на заг­ружен­ный файл в про­вод­нике: вре­донос­ный скрипт сра­бота­ет в превью докумен­та. Одна­ко обо всем по поряд­ку.

Пер­вым файл с экс­пло­итом обна­ружил на VirusTotal иссле­дова­тель, скры­вающий­ся под псев­донимом nao_sec: документ был заг­ружен на VT в апре­ле 2022 года с белорус­ско­го IP-адре­са. Сле­дом за изу­чение опас­ного фай­ла взял­ся IT-эксперт Кевин Бомонт и опуб­ликовал в сво­ем бло­ге под­робное опи­сание уяз­вимос­ти. Он же дал ей наз­вание: рас­шифро­ван­ный им обра­зец кода в фай­ле вклю­чал ссыл­ку на RAR-архив с име­нем 05-2022-0438.rar, а 0438 — это телефон­ный код италь­янско­го город­ка Follina. Если открыть документ с экс­пло­итом, этот RAR-архив ска­чива­ется на ата­куемый компь­ютер и сох­раня­ется во вре­мен­ную пап­ку.

О том, как работа­ет эта уяз­вимость, получив­шая в ито­ге обоз­начение CVE-2022-30190, под­робно рас­ска­зыва­ли в иссле­дова­нии экспер­ты из Huntress. При рас­паков­ке фай­ла с экс­пло­итом они получи­ли все ком­понен­ты, сос­тавля­ющие документ Microsoft Office.

Сре­ди этих сос­тавля­ющих в пап­ке word/_rels/ рас­положен стан­дар­тный XML-файл document.xml.rels, в котором содер­жится спи­сок свя­зей для основно­го XML-фай­ла word/document.xml. В document.xml сос­редото­чено полез­ное содер­жимое докумен­та Word, и, если он не име­ет свя­зей с внеш­ними объ­екта­ми или ресур­сами, файл document.xml.rels обыч­но пуст. В нашем слу­чае там содер­жался код, вклю­чающий ссыл­ку на некую внеш­нюю веб‑стра­ницу, рас­положен­ную по адре­су hxxps[:]//www.xmlformats.com/office/word/2022/wordprocessingDrawing/RDF842l.html.

Сей­час сайт, где лежал файл, уже недос­тупен, но некото­рое вре­мя назад иссле­дова­телям все же уда­лось ска­чать с него ту самую веб‑стра­ницу. Этот HTML-документ содер­жал тег <script> и боль­шое количес­тво заком­менти­рован­ных сим­волов А.