MSDTの脆弱性(CVE-2022-30190、Follina)を悪用したWordファイルについて検証 | ScanNetSecurity
2024.03.19(火)

MSDTの脆弱性(CVE-2022-30190、Follina)を悪用したWordファイルについて検証

 日本電気株式会社(NEC)は6月20日、2022年5月27日に発見されたMSDTの脆弱性(CVE-2022-30190、別名Follina)を悪用したWordファイルに対し行った検証結果をブログで発表した。

脆弱性と脅威 セキュリティホール・脆弱性

 日本電気株式会社(NEC)は6月20日、2022年5月27日に発見されたMSDTの脆弱性(CVE-2022-30190、別名Follina)を悪用したWordファイルに対し行った検証結果をブログで発表した。

 CVE-2022-30190は、Microsoftサポート診断ツール(MSDT: Microsoft Support Diagnostic Tool)に起因する脆弱性で、任意コードの実行が可能となる。2022年5月27日に、@nao_secが本脆弱性を悪用したWordファイルを発見し、後に@GossiTheDogが同脆弱性にFollinaという名前を付けている。

 本脆弱性には、下記のような特徴があり、比較的簡単に悪用可能な上に、ファイルを開いたり、選択したりするだけで任意コードが実行されてしまうため、非常に危険な脆弱性であると指摘している。

・VBAマクロを使用せずに悪用可能なため、マクロの無効化では防止できない
・Microsoft Wordだけでなく、RTF(リッチテキスト)形式でも悪用できる
・RTF形式の場合、エクスプローラーのプレビューウィンドウに表示されるだけで任意コードが実行される
・PowerShellコマンドのInvoke-WebRequest(wget)でも悪用できる

 NEC セキュリティ技術センターのリスクハンティングチームでは、本脆弱性を再現するPoCを作成し検証したところ、Wordファイルを開いただけでHTTP通信が発生し、Microsoftサポート診断ツール(MSDT)および電卓が起動された。

 また、エクスプローラーのプレビューウィンドウを有効にした上で、RTFファイルを開かずにクリックして選択しただけで、Microsoftサポート診断ツール(MSDT)および電卓が起動された。Word以外でも、PowerShellのコマンドでWebサーバにアクセスしただけで、Microsoftサポート診断ツール(MSDT)、および電卓が起動された。

 同ブログでは、本脆弱性の緩和策として、MSDT関連のレジストリキーの削除、グループポリシーでトラブルシューティングウィザードへのユーザアクセスを禁止するの2つを挙げている。

《ScanNetSecurity》

関連記事

Scan PREMIUM 会員限定記事

もっと見る

Scan PREMIUM 会員限定記事特集をもっと見る

カテゴリ別新着記事

「経理」「営業」「企画」「プログラミング」「デザイン」と並ぶ、事業で成功するためのビジネスセンスが「セキュリティ」
「経理」「営業」「企画」「プログラミング」「デザイン」と並ぶ、事業で成功するためのビジネスセンスが「セキュリティ」

ページ右上「ユーザー登録」から会員登録すれば会員限定記事を閲覧できます。毎週月曜の朝、先週一週間のセキュリティ動向を総括しふりかえるメルマガをお届け。(写真:ScanNetSecurity 名誉編集長 りく)

×