【要点】
◎MSのMSDT(Microsoft Support Diagnostic Tool)に見つかった脆弱性。リモートから攻撃可能で、6/1現在において、MSから脆弱性パッチの提供はない。「Microsoft Word」などのアプリケーションからURLプロトコルを介してMSDTが呼び出された場合に、呼び出し元のアプリケーションがもつ権限でリモートからコードが実行されるおそれがある
【関連】
【概要】
■脆弱性
項目 | 内容 |
---|---|
CVE番号 | CVE-2022-30190 |
CVE | https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-30190 |
NDV | https://nvd.nist.gov/vuln/detail/CVE-2022-30190 |
Microsoft | https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-30190 |
■緩和策
- レジストリを書き換えて、プロトコルを無効化する
reg delete HKEY_CLASSES_ROOT\ms-msdt /f
【ニュース】
■2022年
◇2022年5月
□2022年5月30日
◆New Microsoft Office zero-day used in attacks to execute PowerShell (BleepingComputer, 2022/05/30 10:23)
[PowerShellを実行する攻撃に使われるMicrosoft Officeの新しいゼロデイ]
https://www.bleepingcomputer.com/news/security/new-microsoft-office-zero-day-used-in-attacks-to-execute-powershell/
⇒ https://vul.hatenadiary.com/entry/2022/05/30/000000
□2022年5月31日
◆Microsoftの診断ツールにゼロデイ脆弱性、「Word」などを介してリモートから任意コードの実行が可能 (窓の杜, 2022/05/31 10:30)
https://forest.watch.impress.co.jp/docs/news/1413241.html
◆Windows MSDT zero-day now exploited by Chinese APT hackers (BleepingComputer, 2022/05/31 18:00)
[Windows MSDTのゼロデイが中国のAPTハッカーに悪用されるようになりました]
https://www.bleepingcomputer.com/news/security/windows-msdt-zero-day-now-exploited-by-chinese-apt-hackers/
⇒ https://vul.hatenadiary.com/entry/2022/05/31/000000
◆Microsoft shares mitigation for Office zero-day exploited in attacks (BleepingComputer, 2022/05/31 05:18)
https://www.bleepingcomputer.com/news/microsoft/microsoft-shares-mitigation-for-office-zero-day-exploited-in-attacks/
⇒ https://vul.hatenadiary.com/entry/2022/05/31/000000_2
◇2022年6月
□2022年6月1日
◆Officeに未修正のゼロデイ脆弱性 Microsoftは回避策を公開 (ITmedia, 2022/06/01 08:52)
https://www.itmedia.co.jp/news/articles/2206/01/news067.html
⇒ https://vul.hatenadiary.com/entry/2022/06/01/000000
◆「MSDT」にゼロデイ脆弱性「Follina」 - MSが回避策をアナウンス (Security NEXT, 2022/06/01)
https://www.security-next.com/136947
⇒ https://vul.hatenadiary.com/entry/2022/06/01/000000_1
◆Windows MSDT zero-day vulnerability gets free unofficial patch (BleepingComputer, 2022/06/01 11:31)
[Windowsのゼロデイ脆弱性「MSDT」に非公式の無償パッチが提供される]
https://www.bleepingcomputer.com/news/security/windows-msdt-zero-day-vulnerability-gets-free-unofficial-patch/
⇒ https://vul.hatenadiary.com/entry/2022/06/01/000000_2
◆Microsoftの診断ツールに見つかったゼロデイ脆弱性「Follina」を中国関連の脅威アクターが悪用している (Gigazine, 2022/06/01 19:00)
https://gigazine.net/news/20220601-zero-day-follina-chinese-threat-actors/
⇒ https://vul.hatenadiary.com/entry/2022/06/01/000000_3
□2022年6月14日
◆Microsoft patches actively exploited Follina Windows zero-day (BleepingComputer, 2022/06/14 14:00)
[マイクロソフト、積極的に悪用されるFollina Windowsのゼロデイにパッチを適用]
https://www.bleepingcomputer.com/news/security/microsoft-patches-actively-exploited-follina-windows-zero-day/
⇒ https://vul.hatenadiary.com/entry/2022/06/14/000000
【ブログ】
■2022年
◇2022年5月
□2022年5月30日
◆Follina — a Microsoft Office code execution vulnerability (DoublePulsar, 2022/05/30)
[Follina - Microsoft Office のコード実行の脆弱性]
https://doublepulsar.com/follina-a-microsoft-office-code-execution-vulnerability-1a47fce5629e
⇒ https://vul.hatenadiary.com/entry/2022/05/30/000000_2
◆New Microsoft Office Attack Vector via "ms-msdt" Protocol Scheme (SANS, 2022/05/30)
[ms-msdt "プロトコルスキームによる新しいMicrosoft Office攻撃ベクトル]
https://isc.sans.edu/forums/diary/New+Microsoft+Office+Attack+Vector+via+msmsdt+Protocol+Scheme/28694/
⇒ https://vul.hatenadiary.com/entry/2022/05/30/000000_3
◆TA570 Qakbot (Qbot) tries CVE-2022-30190 (Follina) exploit (ms-msdt) (SANS, 2022/06/09)
[TA570 Qakbot (Qbot) が CVE-2022-30190 (Follina) の悪用を試みる (ms-msdt)]
https://isc.sans.edu/forums/diary/TA570+Qakbot+Qbot+tries+CVE202230190+Follina+exploit+msmsdt/28728/
⇒ https://vul.hatenadiary.com/entry/2022/06/09/000000
【検索】
google: Follina
google:news: Follina
google: site:virustotal.com Follina
google: CVE-2022-30190
google:news: CVE-2022-30190
google: site:virustotal.com CVE-2022-30190
google: MSDT
google:news: MSDT
google: site:virustotal.com MSDT
【関連情報】
◆脆弱性: Follina (まとめ) [TT Malware Log]
https://malware-log.hatenablog.com/entry/Follina
【関連まとめ記事】