Home / Segurança da Informação, Cibersegurança e Forense / Entendendo e mitigando a vulnerabilidade Follina (CVE-2022-30190)
Entendendo e mitigando a vulnerabilidade Follina (CVE-2022-30190)

Entendendo e mitigando a vulnerabilidade Follina (CVE-2022-30190)

No dia 27 de maio de 2022, uma nova vulnerabilidade de dia zero (zero-day) foi catalogada pela comunidade de segurança. Essa ameaça, que possui o score CVSS de 7.8, considerado de alto risco, permite a execução remota de códigos na máquina da vítima e, até o momento da publicação deste artigo, nenhuma correção oficial está disponível. Entretanto, algumas providências podem ser tomadas para evitar danos causados por esse ataque.

O problema está na ferramenta de diagnóstico de suporte da Microsoft (MSDT, do inglês Microsoft Windows Support Diagnostic Tool). Tecnicamente, o processo de exploração dessa vulnerabilidade não é complexo, o atacante incorpora um link malicioso em um documento do Microsoft Word, que é enviado para sua vítima. Ao abrir o documento, o software realiza uma requisição que invoca a ferramenta de diagnóstico MSDT, automaticamente executando o código informado arbitrariamente.

Um pode se aproveitar dessa falha para executar códigos maliciosos com as mesmas permissões da aplicação, podendo realizar a instalação de programas, exfiltração (vazamento) de dados, modificação de arquivos, download de artefatos maliciosos (como ransomwares) e até mesmo a criação de contas de usuários. Confira abaixo uma demonstração na qual foi possível obter um em uma máquina Windows 10 atualizada.

Vulnerabilidade zero-one Follina (CVE-2022-30190) em execução

Se protegendo da CVE-2022-30190

Como citado anteriormente, nenhum patch oficial para mitigação da vulnerabilidade foi disponibilizado até o momento. Entretanto, o Windows Defender 1.367.719.0 e versões superiores já possuem detecções para esse ataque, mais especificamente com as seguintes assinaturas:

  • Trojan:Win32/Mesdetty.A
  • Trojan:Win32/Mesdetty.B
  • Behavior:Win32/MesdettyLaunch.A
  • Behavior:Win32/MesdettyLaunch.B
  • Behavior:Win32/MesdettyLaunch.C

Mesmo com essas assinaturas catalogadas, atacantes podem fazer uso de técnicas para burlar os mecanismos de defesa do Windows. Dessa forma, é indicado desabilitar o protocolo de URL do MSDT até que se tenha uma solução definitiva. Para isso, os seguintes procedimentos devem ser realizados:

1. Abra um prompt de comando com privilégios administrativos:

Abra um prompt de comando com privilégios administrativos

2. Faça um backup do registro do Windows com o comando reg export HKEY_CLASSES_ROOT\ms-msdt ms-msdt.reg:

2) Faça um backup do registro do Windows com o comando reg export HKEY_CLASSES_ROOT\ms-msdt ms-msdt.reg

3. Delete a chave relacionada ao MSDT com o comando reg delete HKEY_CLASSES_ROOT\ms-msdt /f:

3) Delete a chave relacionada ao MSDT com o comando reg delete HKEY_CLASSES_ROOT\ms-msdt /f:

Observação: para reverter esse procedimento, restaure o arquivo de backup com o seguinte comando: reg import ms-msdt.reg.

Vale lembrar que, dependendo do seu ambiente, o protocolo de URL do MSDT pode ser usado legitimamente. Isso precisa ser considerado antes de você aplicar essa solução de contorno para o CVE-2022-30190.

A vulnerabilidade Follina viabiliza explorações de alto impacto, que podem prejudicar significativamente as operações da sua organização, seja pela execução de malwares a partir dessa falha ou eventuais vazamentos de dados.

Enquanto um patch oficial não for liberado, as medidas supracitadas podem ser adotadas para mitigar a execução de códigos via MSDT. Ademais, cabe ao time de segurança orientar os demais colaboradores a respeito de medidas de proteção essenciais, como a de sempre suspeitar de arquivos baixados de fontes externas.

Assista agora o webinar gratuito 'Defesa em Aplicações Web'

Webinar gratuito

Defesa em Aplicações WEB

com Eduardo Santos, Instrutor IDESP e Professor da Pós-graduação de Cyber Security no IDESP | Senior Application Security Engineer at PicPay | AppSec Analyst | Information Security

Com o objetivo de manter nossos clientes sempre a frente de ciberameaças, a Daryus Consultoria está atuando de forma direta com eles na mitigação dessa e de outras ameaças. Além disso, nossos especialistas já foram orientados sobre as medidas defensivas e melhores práticas de segurança da informação para contenção dessa vulnerabilidade, estando aptos a compartilhar seus conhecimentos com a comunidade, evidenciando nosso propósito de iluminar mentes, potencializar pessoas e proteger negócios.

Saiba mais sobre a Daryus Consultoria

Sobre Cristian Souza

mm
Consultor de cibersegurança, professor do IDESP e palestrante. Tem experiência nas áreas de segurança da informação, visão computacional e inteligência artificial.

Confira tambem

Três pilares para se conseguir uma estratégia de segurança cibernética eficaz

A inovação tecnológica – a evolução contínua da computação em nuvem, o rápido aumento na …