Важной новостью прошлой недели стало обнародование информации об уязвимости нулевого дня в подсистеме Microsoft Support Diagnostic Protocol в ОС Windows. Уязвимость, получившая идентификатор и неофициальное название Follina, позволяет выполнить произвольный код с привилегиями пользователя путем обращения к MSDT. На момент подготовки материала для уязвимости нет патча, хотя можно временно решить проблему, полностью отключив обработку обращений к протоколу в системе. Подвержены все поддерживаемые версии Windows начиная с 8.1 и Server 2008.
По сообщениям ряда исследователей, компания Microsoft была уведомлена о наличии уязвимости, а также о факте ее активной эксплуатации, еще в апреле этого года. Изначально в компании недооценили опасность проблемы, посчитав, что без ввода пароля переданный MSDT произвольный код не будет выполнен. Однако впоследствии выяснилось, что пользовательское подтверждение не требуется. Более того, вероятен сценарий атаки типа zero-click, когда вредоносный код выполняется во время предварительного просмотра зараженного документа в Проводнике Windows.
Первоисточники:
Обзорная в издании ArsTechnica.
Краткий уязвимости от экспертов «Лаборатории Касперского».
уязвимости на сайте Microsoft.
Там же по отключению обращений к MSDT.
27 мая в Твиттере появление на сервисе VirusTotal вредоносного документа в формате Microsoft Word, который эксплуатирует уязвимость. Общая модель атаки следующая: жертве отправляется подготовленный документ в формате Word или RTF. В документе содержится ссылка на вредоносный код, который подгружается и передается службе MSDT. Уязвимость в самом сервисе, изначально предназначенном для диагностики, позволяет выполнить произвольный код с правами пользователя, открывшего документ.
Более того, если используется документ Word, его хотя бы надо открыть. По исследователей из компании Huntress, для документа в формате RTF не срабатывает стандартная защита от потенциально опасного контента, и вредоносный код может быть выполнен даже в результате предварительного просмотра документа в Проводнике. Теоретически это позволяет построить атаку, не требующую никаких действий от жертвы.
У данной уязвимости есть еще одна интересная особенность. Судя по всему, она была обнаружена еще в 2020 году. В дипломной работе возможность выполнять код через обращение к MSDT упоминается мельком, в одном абзаце, среди обзора массы других способов выполнения произвольных программ в системе.
Что еще произошло:Другим громким событием прошлой недели стала уязвимость в сервисе Atlassian Confluence. позволяет выполнить произвольный код на локальном сервере Confluence. Компания Volexity проблему в ходе расследования инцидента на стороне клиента. Zero-day был закрыт срочным патчем от 3 июня.
Discord-сервер и другие ресурсы организации Bored Ape Yacht Club подверглись фишинговой атаке, в ходе которой у пользователей были NFT на сумму более 2 миллионов долларов. От имени взломанных аккаунтов потенциальным жертвам рассылались традиционные для подобного скама сообщения о бесплатной раздаче денег и виртуальных ценностей.
