日本電気株式会社(NEC)は6月20日、2022年5月27日に発見されたMSDTの脆弱性(CVE-2022-30190、別名Follina)を悪用したWordファイルに対し行った検証結果をブログで発表した。
CVE-2022-30190は、Microsoftサポート診断ツール(MSDT: Microsoft Support Diagnostic Tool)に起因する脆弱性で、任意コードの実行が可能となる。2022年5月27日に、@nao_secが本脆弱性を悪用したWordファイルを発見し、後に@GossiTheDogが同脆弱性にFollinaという名前を付けている。
本脆弱性には、下記のような特徴があり、比較的簡単に悪用可能な上に、ファイルを開いたり、選択したりするだけで任意コードが実行されてしまうため、非常に危険な脆弱性であると指摘している。
・VBAマクロを使用せずに悪用可能なため、マクロの無効化では防止できない
・Microsoft Wordだけでなく、RTF(リッチテキスト)形式でも悪用できる
・RTF形式の場合、エクスプローラーのプレビューウィンドウに表示されるだけで任意コードが実行される
・PowerShellコマンドのInvoke-WebRequest(wget)でも悪用できる
NEC セキュリティ技術センターのリスクハンティングチームでは、本脆弱性を再現するPoCを作成し検証したところ、Wordファイルを開いただけでHTTP通信が発生し、Microsoftサポート診断ツール(MSDT)および電卓が起動された。
また、エクスプローラーのプレビューウィンドウを有効にした上で、RTFファイルを開かずにクリックして選択しただけで、Microsoftサポート診断ツール(MSDT)および電卓が起動された。Word以外でも、PowerShellのコマンドでWebサーバにアクセスしただけで、Microsoftサポート診断ツール(MSDT)、および電卓が起動された。
同ブログでは、本脆弱性の緩和策として、MSDT関連のレジストリキーの削除、グループポリシーでトラブルシューティングウィザードへのユーザアクセスを禁止するの2つを挙げている。
