MSDTの脆弱性（CVE-2022-30190、Follina）を悪用したWordファイルについて検証

　日本電気株式会社（NEC）は6月20日、2022年5月27日に発見されたMSDTの脆弱性（CVE-2022-30190、別名Follina）を悪用したWordファイルに対し行った検証結果をブログで発表した。

　CVE-2022-30190は、Microsoftサポート診断ツール（MSDT: Microsoft Support Diagnostic Tool）に起因する脆弱性で、任意コードの実行が可能となる。2022年5月27日に、@nao_secが本脆弱性を悪用したWordファイルを発見し、後に@GossiTheDogが同脆弱性にFollinaという名前を付けている。

　本脆弱性には、下記のような特徴があり、比較的簡単に悪用可能な上に、ファイルを開いたり、選択したりするだけで任意コードが実行されてしまうため、非常に危険な脆弱性であると指摘している。

・VBAマクロを使用せずに悪用可能なため、マクロの無効化では防止できない
・Microsoft Wordだけでなく、RTF（リッチテキスト）形式でも悪用できる
・RTF形式の場合、エクスプローラーのプレビューウィンドウに表示されるだけで任意コードが実行される
・PowerShellコマンドのInvoke-WebRequest（wget）でも悪用できる

　NEC セキュリティ技術センターのリスクハンティングチームでは、本脆弱性を再現するPoCを作成し検証したところ、Wordファイルを開いただけでHTTP通信が発生し、Microsoftサポート診断ツール（MSDT）および電卓が起動された。

　また、エクスプローラーのプレビューウィンドウを有効にした上で、RTFファイルを開かずにクリックして選択しただけで、Microsoftサポート診断ツール（MSDT）および電卓が起動された。Word以外でも、PowerShellのコマンドでWebサーバにアクセスしただけで、Microsoftサポート診断ツール（MSDT）、および電卓が起動された。

　同ブログでは、本脆弱性の緩和策として、MSDT関連のレジストリキーの削除、グループポリシーでトラブルシューティングウィザードへのユーザアクセスを禁止するの2つを挙げている。