MSDTの脆弱性(CVE-2022-30190、Follina)を悪用したWordファイルについて検証 | ScanNetSecurity
2022.08.15(月)

MSDTの脆弱性(CVE-2022-30190、Follina)を悪用したWordファイルについて検証

 日本電気株式会社(NEC)は6月20日、2022年5月27日に発見されたMSDTの脆弱性(CVE-2022-30190、別名Follina)を悪用したWordファイルに対し行った検証結果をブログで発表した。

脆弱性と脅威 セキュリティホール・脆弱性

 日本電気株式会社(NEC)は6月20日、2022年5月27日に発見されたMSDTの脆弱性(CVE-2022-30190、別名Follina)を悪用したWordファイルに対し行った検証結果をブログで発表した。

 CVE-2022-30190は、Microsoftサポート診断ツール(MSDT: Microsoft Support Diagnostic Tool)に起因する脆弱性で、任意コードの実行が可能となる。2022年5月27日に、@nao_secが本脆弱性を悪用したWordファイルを発見し、後に@GossiTheDogが同脆弱性にFollinaという名前を付けている。

 本脆弱性には、下記のような特徴があり、比較的簡単に悪用可能な上に、ファイルを開いたり、選択したりするだけで任意コードが実行されてしまうため、非常に危険な脆弱性であると指摘している。

・VBAマクロを使用せずに悪用可能なため、マクロの無効化では防止できない
・Microsoft Wordだけでなく、RTF(リッチテキスト)形式でも悪用できる
・RTF形式の場合、エクスプローラーのプレビューウィンドウに表示されるだけで任意コードが実行される
・PowerShellコマンドのInvoke-WebRequest(wget)でも悪用できる

 NEC セキュリティ技術センターのリスクハンティングチームでは、本脆弱性を再現するPoCを作成し検証したところ、Wordファイルを開いただけでHTTP通信が発生し、Microsoftサポート診断ツール(MSDT)および電卓が起動された。

 また、エクスプローラーのプレビューウィンドウを有効にした上で、RTFファイルを開かずにクリックして選択しただけで、Microsoftサポート診断ツール(MSDT)および電卓が起動された。Word以外でも、PowerShellのコマンドでWebサーバにアクセスしただけで、Microsoftサポート診断ツール(MSDT)、および電卓が起動された。

 同ブログでは、本脆弱性の緩和策として、MSDT関連のレジストリキーの削除、グループポリシーでトラブルシューティングウィザードへのユーザアクセスを禁止するの2つを挙げている。

《ScanNetSecurity》

関連記事

特集

PageTop

アクセスランキング

  1. 保健所職員が資料を個人用端末で写真撮影、フィッシング詐欺に遭い閲覧された可能性

    保健所職員が資料を個人用端末で写真撮影、フィッシング詐欺に遭い閲覧された可能性

  2. 入学選抜に係わる情報をTeams内に誤って格納、生徒14名がアクセス

    入学選抜に係わる情報をTeams内に誤って格納、生徒14名がアクセス

  3. JR東日本グループ「VIEW’s NET」に不正ログイン被害

    JR東日本グループ「VIEW’s NET」に不正ログイン被害

  4. 住和港運へのランサムウェア攻撃、サーバ内のデータが暗号化され使用できず

    住和港運へのランサムウェア攻撃、サーバ内のデータが暗号化され使用できず

  5. Twilioに高度なソーシャルエンジニアリング攻撃、一部顧客アカウント情報が漏えい

    Twilioに高度なソーシャルエンジニアリング攻撃、一部顧客アカウント情報が漏えい

  6. 社員名を詐称したメールを開封し添付ファイルを実行、従業員3名のパソコンがEmotetに感染

    社員名を詐称したメールを開封し添付ファイルを実行、従業員3名のパソコンがEmotetに感染

  7. マイクロソフトが8月のセキュリティ情報公開、MSDT のリモートでコードが実行される脆弱性は悪用の事実を確認済み

    マイクロソフトが8月のセキュリティ情報公開、MSDT のリモートでコードが実行される脆弱性は悪用の事実を確認済み

  8. 「JUSTオンラインアップデート for J-License」が特定のプログラムを起動する際に実行ファイルのパスが引用符で囲まれていない脆弱性

    「JUSTオンラインアップデート for J-License」が特定のプログラムを起動する際に実行ファイルのパスが引用符で囲まれていない脆弱性

  9. Adobe AcrobatおよびReaderに脆弱性

    Adobe AcrobatおよびReaderに脆弱性

  10. GMOサイバーセキュリティ byイエラエがクレジットカード情報漏えい事故調査機関「PFI」に認定

    GMOサイバーセキュリティ byイエラエがクレジットカード情報漏えい事故調査機関「PFI」に認定

ランキングをもっと見る