MSDTの脆弱性(CVE-2022-30190、Follina)を悪用したWordファイルについて検証 | ScanNetSecurity
2024.05.25(土)

MSDTの脆弱性(CVE-2022-30190、Follina)を悪用したWordファイルについて検証

 日本電気株式会社(NEC)は6月20日、2022年5月27日に発見されたMSDTの脆弱性(CVE-2022-30190、別名Follina)を悪用したWordファイルに対し行った検証結果をブログで発表した。

脆弱性と脅威 セキュリティホール・脆弱性

 日本電気株式会社(NEC)は6月20日、2022年5月27日に発見されたMSDTの脆弱性(CVE-2022-30190、別名Follina)を悪用したWordファイルに対し行った検証結果をブログで発表した。

 CVE-2022-30190は、Microsoftサポート診断ツール(MSDT: Microsoft Support Diagnostic Tool)に起因する脆弱性で、任意コードの実行が可能となる。2022年5月27日に、@nao_secが本脆弱性を悪用したWordファイルを発見し、後に@GossiTheDogが同脆弱性にFollinaという名前を付けている。

 本脆弱性には、下記のような特徴があり、比較的簡単に悪用可能な上に、ファイルを開いたり、選択したりするだけで任意コードが実行されてしまうため、非常に危険な脆弱性であると指摘している。

・VBAマクロを使用せずに悪用可能なため、マクロの無効化では防止できない
・Microsoft Wordだけでなく、RTF(リッチテキスト)形式でも悪用できる
・RTF形式の場合、エクスプローラーのプレビューウィンドウに表示されるだけで任意コードが実行される
・PowerShellコマンドのInvoke-WebRequest(wget)でも悪用できる

 NEC セキュリティ技術センターのリスクハンティングチームでは、本脆弱性を再現するPoCを作成し検証したところ、Wordファイルを開いただけでHTTP通信が発生し、Microsoftサポート診断ツール(MSDT)および電卓が起動された。

 また、エクスプローラーのプレビューウィンドウを有効にした上で、RTFファイルを開かずにクリックして選択しただけで、Microsoftサポート診断ツール(MSDT)および電卓が起動された。Word以外でも、PowerShellのコマンドでWebサーバにアクセスしただけで、Microsoftサポート診断ツール(MSDT)、および電卓が起動された。

 同ブログでは、本脆弱性の緩和策として、MSDT関連のレジストリキーの削除、グループポリシーでトラブルシューティングウィザードへのユーザアクセスを禁止するの2つを挙げている。

《ScanNetSecurity》

関連記事

特集

PageTop

アクセスランキング

  1. 「mixi」に不正ログイン、個人データが第三者に漏えいしたおそれ

    「mixi」に不正ログイン、個人データが第三者に漏えいしたおそれ

  2. 攻撃者のあの手この手、リアルな攻撃&リアルな現状を知る専門家が警鐘を鳴らす ~ JPAAWG 6th General Meeting レポート

    攻撃者のあの手この手、リアルな攻撃&リアルな現状を知る専門家が警鐘を鳴らす ~ JPAAWG 6th General Meeting レポート

  3. 今日もどこかで情報漏えい 第24回「2024年4月の情報漏えい」虎屋? ヨックモック? 千疋屋? ~「手土産」は個人情報

    今日もどこかで情報漏えい 第24回「2024年4月の情報漏えい」虎屋? ヨックモック? 千疋屋? ~「手土産」は個人情報

  4. 求人情報サイト「バイトル」へ不正ログイン、新たにアローズコーポレーションでも判明

    求人情報サイト「バイトル」へ不正ログイン、新たにアローズコーポレーションでも判明

  5. サポート詐欺で発覚 ~ 産婦人科医師が不適切な状態で患者データ保管

    サポート詐欺で発覚 ~ 産婦人科医師が不適切な状態で患者データ保管

  6. 2 時間後に気づいたサポート詐欺 ~ 大東文化大学 非常勤講師 PC に不正アクセス

    2 時間後に気づいたサポート詐欺 ~ 大東文化大学 非常勤講師 PC に不正アクセス

  7. スマートグラスで入試問題を撮影しスマートフォンに転送、早稲田の受験生を書類送検

    スマートグラスで入試問題を撮影しスマートフォンに転送、早稲田の受験生を書類送検

  8. 2023年にネットバンキングの不正送金が急増した理由

    2023年にネットバンキングの不正送金が急増した理由

  9. 「JFおさかなマルシェ ギョギョいち」に不正アクセス、カード情報が漏えいした可能性

    「JFおさかなマルシェ ギョギョいち」に不正アクセス、カード情報が漏えいした可能性

  10. Dropbox Sign に不正アクセス、 NICT のセキュリティ講習「実践サイバー演習 RPCI」受講者の個人情報流出

    Dropbox Sign に不正アクセス、 NICT のセキュリティ講習「実践サイバー演習 RPCI」受講者の個人情報流出

ランキングをもっと見る