CVE-2022-30190: "Follina" Microsoft サポート診断ツールの脆弱性

マイクロソフトによると、CVE-2022-30190は、Wordなどの呼び出し側アプリケーションからURLプロトコルを使用してMSDTを呼び出した場合に存在するリモートコード実行の脆弱性であるとのことです。この脆弱性の悪用に成功した攻撃者は、呼び出し元のアプリケーションの権限で任意のコードを実行することができます。攻撃者は、ユーザーの権限で許可されたコンテキストで、プログラムのインストール、データの表示、変更、削除、または新しいアカウントの作成が可能になります。回避策は、マイクロソフトのブログで公開されています。

Rapid7の脆弱性調査チームは、AttackerKBでCVE-2022-30190の完全な技術的分析を行っています。この欠陥は、悪用するためにユーザーの操作が必要で、ユーザーが添付ファイルを開いたりプレビューしたりする必要がある他の多くの脆弱性と類似しており、2020年に説明されたベクトルを活用しているように見えます。この説明にもかかわらず、この脆弱性は、真の「リモートコード実行」の脆弱性ではありません。

緩和ガイダンス

パッチがない場合は、マイクロソフトのアドバイザリで指定されているように、MSDT URL プロトコルを無効にしてください。

Rapid7のお客様

InsightVMおよびNexposeのお客様は、本日（5月31日）公開のコンテンツで、認証付き脆弱性チェックによりCVE-2022-30190への曝露状況を評価することができます。

InsightIDRをご利用のお客様は、本脆弱性に関連する攻撃を検知するための新しい検知ルールがライブラリに追加されます。

• Suspicious Process - Microsoft Office App Spawns MSDT.exe

この検出ルールの設定を確認し、オンになっていることと、お客様の組織にとって適切なルールアクションと優先順位に設定されていることを確認することをお勧めします。

本ブログは英語ブログ、"CVE-2022-30190: "Follina" Microsoft Support Diagnostic Tool Vulnerability"の機械翻訳に基づいています。