「ms-msdt」プロトコルスキームを悪用したMicrosoft Officeに対する新しい攻撃手法（CVE-2022-30190）

「ms-msdt」プロトコルスキームを悪用したMicrosoft Officeに対する新しい攻撃手法（CVE-2022-30190）

Microsoftによる公式のブログポストはこちら：Guidance for CVE-2022-30190 Microsoft Support Diagnostic Tool Vulnerability

MSDT URLプロトコルを無効にする対策方法が公開され、この脆弱性にCVE番号も付与されました。

ヨーロッパの多くの国では週末の間で、アメリカでも3連休の月曜日でしたが、Microsoft Officeドキュメントに関する新しい攻撃手法が話題になりました。＠nao_secが、細工されたMicrosoft WordドキュメントをTwitterにて報告したところから始まりました。Officeドキュメントを悪用した攻撃としては、VBAやXLS 4マクロ、ペイロードを用いるマルウェアが一般的でした。しかし、今回悪用された手法は全く新しい観点で細工されたものでした。

該当のファイルはVirusTotalによると17種類のアンチウィルスエンジンでのみ検知される状況です。

(sha256:4a24048f81afbe9fb62e7a6a49adbd1faf41f266b5f9feecdceb567aec096784)[2]

このファイルを開いても何も表示されませんが（白紙）、ドキュメントの仕様を確認すると興味深いことが分かります。このドキュメントには悪意のあるURLを指し示す外部参照が含まれています。

ドキュメントを開くとwww[.]xmlformats[.]comのホストへ接続され、下記のペイロードがダウンロードされます。

「windows.location.href」が一番興味深いところです。プロトコルスキーマは「ms-msdt:/」（「/」はひとつのみ）です。MSDTとは「Microsoft Support Diagnostic Tool」の略で、Microsoft が用意した「msdt.exe」というツールが、MicrosoftのサポートにPCの情報を収集して送ります。

Microsoft OfficeはMSDT URLを自動的に処理し、Powershellのペイロードを実行します。このBase 64でエンコードされた文字列には以下のようなコマンドが含まれています。

この脆弱性は、マクロ機能が無効化されていたとしても悪用可能です。保護ビューが有効になっている場合はすぐに影響を受けることはありませんが、保護ビューを解除すると影響を受ける可能性があります。また、Kevin BeaumontがRTFに変換されたドキュメントでもテストをしています。Windows Explorerでドキュメントをプレビューしただけでも悪用されてしまいます。

この週末に研究者たちが悪意のあるファイルを確認していた際、Didierがコード実行のデモとして電卓プログラムを起動する新しいペイロードを生成し。実際の動作を動画で公開しました。

Microsoftのこの挙動はあまりに脆弱です。どのように検知すればいいのでしょうか？ 悪意あるドキュメントには"ms-msdt:/“というスキーマの文字列自体は含まれていません。ドキュメントを開いた後にOfficeによってダウンロードされた最初のペイロードに含まれます。検知・対策のためのいくつかの案を例示します。

1．親子関係の確認：word.exeやexcel.exeなどの親のプロセスから起動されたmsdt.exeプロセスを追跡する必要があります。

2．レジストリからの「ms-msdt」スキーマの削除：Didierによると実際にレジストリから「ms-msdt」スキーマを削除することで動作を抑えることができました。

3．Officeが子プロセスを生成させないようにするためのASLルールの作成：

4．組織内ユーザへ不審な文書は開かないように注意喚起をしてください。

今後もこの新しい攻撃手法については調査を続け、随時情報発信をしていきます。

元の記事：https://isc.sans.edu/forums/diary/New+Microsoft+Office+Attack+Vector+via+msmsdt+Protocol+Scheme+CVE202230190/28694/

[1] https://twitter.com/nao_sec/status/1530196847679401984?ref_src=twsrc%5Etfw%7Ctwcamp%5Etweetembed%7Ctwterm%5E1530196847679401984%7Ctwgr%5E%7Ctwcon%5Es1_&ref_url=https%3A%2F%2Fcdn.embedly.com%2Fwidgets%2Fmedia.html%3Ftype%3Dtext2Fhtmlkey%3Da19fcc184b9711e1b4764040d3dc5c07schema%3Dtwitterurl%3Dhttps3A%2F%2Ftwitter.com%2Fnao_sec%2Fstatus%2F1530196847679401984image%3Dhttps3A%2F%2Fi.embed.ly%2F1%2Fimage3Furl3Dhttps253A252F252Fabs.twimg.com252Ferrors252Flogo46x38.png26key3Da19fcc184b9711e1b4764040d3dc5c07

[2] https://www.virustotal.com/gui/file/4a24048f81afbe9fb62e7a6a49adbd1faf41f266b5f9feecdceb567aec096784/detection

[3] https://docs.microsoft.com/en-us/windows-server/administration/windows-commands/msdt

[4] https://doublepulsar.com/follina-a-microsoft-office-code-execution-vulnerability-1a47fce5629e

[5] https://www.youtube.com/watch?v=GybD70_rZDs

[6] https://twitter.com/DidierStevens/status/1531033449561264128