A vulnerabilidade de dia zero do Windows recentemente descoberta continua a ser notícia, pois os agentes de ameaças em todo o mundo são incansáveis em seus esforços para explorá-la. A vulnerabilidade, apelidada de Follina, pode ser explorada quando a Microsoft Support Diagnostic Tool (MSDT) é chamada por um aplicativo do Microsoft Office usando o protocolo de URL.
Qual é o impacto?
Rastreado como CVE-2022-30190, a exploração dessa vulnerabilidade permite que o invasor execute código arbitrário quando um documento do Word é aberto ou simplesmente visualizado em um computador de destino. Feito isso, o invasor pode executar comandos do PowerShell para instalar programas, exibir, alterar ou excluir dados ou até mesmo criar novas contas.
Com uma classificação de 7,8, Follina se enquadra na categoria de gravidade “alta”. O que o torna mais sério é que a ferramenta MSDT que coleta e envia dados de diagnóstico para o Suporte da Microsoft para análise é encontrada em todas as versões do sistema operacional Windows e Windows Server. Isso significa que, sem uma estratégia de mitigação, todas as máquinas Windows são alvos potenciais para maus atores que tentam explorar essa vulnerabilidade.
Embora a Microsoft tenha reconhecido a vulnerabilidade e sugerido soluções alternativas para mitigar seu impacto, ela não emitiu um patch oficial para resolver a falha (em 13 de junho de 2022).
Como detectar explorações da Follina
Monitorar os processos pai-filho em execução em seu ambiente é uma maneira de detectar a possível exploração dessa vulnerabilidade. Se você tiver uma solução que audite os processos do Windows, poderá configurá-la para:
-
Procure sistemas que geram msdt.exe como um processo derivado do WINWORD.EXE, EXCEL.EXE, OUTLOOK.EXE ou POWERPNT.EXE.
-
Procure IT_BrowseForFile, IT_LaunchMethod e IT_RebrowseForFile se você tiver a auditoria de linha de comando habilitada, pois não são parâmetros comuns.
Existem soluções alternativas?
Como parte de seu comunicado, a Microsoft sugeriu desabilitar o protocolo de URL MSDT como uma solução alternativa para mitigar essa vulnerabilidade.
Para desabilitar o protocolo de URL MSDT:
-
Execute o prompt de comando como administrador.
-
Execute o seguinte comando para fazer backup da chave do registro:
reg export HKEY_CLASSES_ROOT\ms-msdt <nome do arquivo>
-
Em seguida, execute o comando mostrado abaixo:
reg delete HKEY_CLASSES_ROOT\ms-msdt /f
Para desfazer a solução alternativa:
-
Execute o prompt de comando como administrador.
-
Execute o seguinte comando para restaurar a chave do registro:
reg import <filename>
Como o ManageEngine ADAudit Plus pode ajudá-lo a detectar exploits da Follina
Usando os relatórios de rastreamento de processos exclusivos do ADAudit Plus, você pode verificar se seu ambiente está exposto ao CVE-2022-30190 e acionar alertas em tempo real sempre que uma tentativa de exploração for detectada.
Verifique se há computadores afetados usando relatórios de acompanhamento de processos
O ADAudit Plus habilita automaticamente a política de “criação de processo de auditoria” que permite rastrear a atividade de criação de processo. No entanto, para evitar falsos positivos, você deve habilitar a auditoria do processo de linha de comando para garantir que o evento de criação do processo (ID do evento 4688) inclua informações sobre o nome do arquivo executável e os argumentos passados.
Para habilitar a auditoria do processo de linha de comando:
-
Faça logon no servidor que executa o ADAudit Plus e abra o Console de Gerenciamento de Diretiva de Grupo.
-
Nos GPOs vinculados ao domínio, identifique o GPO ADAuditPlusMSPolicy, clique com o botão direito nele e selecione Editar.
-
No Editor de Diretiva de Grupo, navegue até Configuração do Computador > Diretivas > Modelos Administrativos > Sistema > Criação do Processo de Auditoria.
- Clique com o botão direito do mouse na configuração Incluir linha de comando nos eventos de criação do processo e selecione Editar.
- Na janela Incluir linha de comando nos eventos de criação do processo, marque Ativado e clique em OK.
Depois que a configuração de GPO acima estiver habilitada, os relatórios de rastreamento de processos do ADAudit Plus exibirão eventos relacionados a possíveis explorações do Follina.
Para verificar os computadores afetados:
-
Faça login no console da Web do ADAudit Plus.
-
Navegue até Auditoria do servidor > Rastreamento de processos > Novo processo criado.
- No relatório, clique em Pesquisa Avançada e adicione as regras apropriadas correspondentes ao seu ambiente.
- Se você ativou anteriormente a auditoria do processo de linha de comando em seu ambiente, poderá verificar os computadores afetados adicionando o conjunto de regras mostrado na imagem abaixo:
- Se você não habilitou a auditoria do processo de linha de comando em seu ambiente anteriormente, poderá verificar os computadores afetados adicionando o conjunto de regras mostrado abaixo:
Nota: Como as informações relacionadas ao nome do arquivo executável e os argumentos passados não estarão disponíveis na ID de evento 4688 quando a auditoria do processo de linha de comando não estiver habilitada, os relatórios resultantes do conjunto de regras na imagem acima podem indicar falsos positivos.
Depois de adicionar as regras, clique em Pesquisar e você encontrará a lista de computadores afetados por esta vulnerabilidade.
Configure alertas em tempo real com o ADAudit Plus
Com o ADAudit Plus, você também pode configurar perfis de alerta para receber alertas em tempo real quando eventos relacionados a essa vulnerabilidade forem registrados no futuro.
Para criar um perfil de alerta:
-
Faça login no console da Web do ADAudit Plus.
-
Navegue até Configuração > Perfis de alerta > Criar perfil de alerta.
-
Especifique um Nome e uma Descrição adequados para o perfil de alerta e selecione sua Gravidade.
-
No campo Categoria, selecione Tudo e clique no símbolo “+” à direita.
-
Na tela pop-up, selecione seu domínio, selecione Todos na lista suspensa Categoria, clique em Pesquisar, digite “Rastreamento de processos” e pressione Enter.
-
Verifique o rastreamento para o perfil de relatório de domínio <selecionado> e clique em OK.
-
Insira uma Mensagem de Alerta adequada.
- Na seção Configuração avançada, selecione Filtro, clique em Adicionar filtro e adicione as regras apropriadas correspondentes ao seu ambiente.
- Se você habilitou anteriormente a auditoria do processo de linha de comando em seu ambiente, adicione o conjunto de regras mostrado na imagem abaixo:
- Se você não habilitou a auditoria do processo de linha de comando em seu ambiente anteriormente, adicione o conjunto de regras mostrado na imagem abaixo: Nota: Como as informações relacionadas ao nome do arquivo executável e os argumentos passados não estarão disponíveis na ID de evento 4688 quando a auditoria do processo de linha de comando não estiver habilitada, os relatórios resultantes do conjunto de regras na imagem acima podem indicar falsos positivos.
-
Na seção Ações de alerta, escolha como deseja receber a mensagem de alerta (notificações por SMS ou e-mail) e defina as configurações correspondentes.
-
Clique em Salvar.
Sobre o ManageEngine ADAudit Plus
O ADAudit Plus é uma solução de auditoria de alterações em tempo real que ajuda a manter seu Active Directory, Azure AD, servidores de arquivos, servidores Windows e estações de trabalho seguros e em conformidade. Confira nossa página de recursos para saber mais.