심각도가 높은 제로데이 원격 코드 실행 취약점은 Microsoft Windows 지원 진단 도구(MSDT)에서 CVE-2022-30190 "FOLLINA"로 식별되었습니다.
MSDT는 Windows 7 이상 버전에 있는 도구로, 사용자가 Microsoft 지원에 문제를 보고할 때 Ms. Office Documents와 같은 응용 프로그램의 문제를 진단하는 데 사용됩니다.
CVE-2022-30190 "Follina" 취약점이 왜 그렇게 위험한가요?
이 진단 도구(MSDT)는 일반적으로 Ms. Office Documents와 같은 응용 프로그램에서 호출되며 호출 시 호출 프로세스의 권한으로 원격 코드 실행을 허용합니다. MSDT URL 프로토콜. 공격자는 이 취약점을 악용하여 임의의 코드를 실행할 수 있습니다.
이 취약점은 이메일을 통해 배포된 MS 오피스 문서를 통해 악성 페이로드(예: Turian Backdoor, Cobalt Strike 등)를 실행하는 방식으로 악용되었습니다. 처음에는 VIP Invitation to Doha Expo 2023.docx(7c4ee39de1b67937a26c9bc1a7e5128b)라는 이름의 문서 샘플이 WebDAV를 사용하여 CobaltStrike를 다운로드했습니다.
중국 APT 그룹 'TA413'이 이를 악용했습니다. 보안 문제 MSDT URL 프로토콜을 통해 페이로드로 백도어를 다운로드하는 악성코드입니다.
아래 그림은 DOC(SHA:로 다운로드한 base64 인코딩된 html 파일을 보여줍니다. 000c10fef5a643bd96da7cf3155e6a38) hxxp://212[.]138.130.8/analysis [.]html에서
다음 그림은 디코딩된 데이터를 보여줍니다.
base64로 인코딩된 데이터를 디코딩하면 백도어인 svchosts.exe가 MSDT URL 프로토콜을 통해 다운로드된다는 것을 명확하게 볼 수 있습니다.
“폴리나” 완화
MSDT URL 프로토콜 비활성화:
- 레지스트리 키를 백업하려면 관리자 권한으로 다음 명령을 실행하세요.
"reg export HKEY_CLASSES_ROOT\ms-msdt 파일 이름"
- 레지스트리 키를 삭제하려면 "reg delete HKEY_CLASSES_ROOT\ms-msdt /f" 명령을 실행합니다.
레지스트리 키를 복원하려면 관리자 권한으로 다음 명령을 실행하세요. - "reg import filename"
Seqrite는 어떻게 고객을 CVE-2022-30190 – Follina로부터 보호합니까?
Seqrite는 다음과 같은 탐지를 통해 MSDT의 취약점으로부터 고객을 보호합니다.
- 백도어.튜리안.S28183972
- CVE-2022-30190.46635
- CVE-2022-30190.46634
- CVE-2022-30190.46624
- CVE-2022-30190.46623
