Windows のゼロデイ脆弱性 Follina CVE-2022-30190 は ProtocolNightmare になるのか?

New Windows Search zero-day added to Microsoft protocol nightmare

2022/06/01 BleepingComputer — Windows Search で見つかった新たなゼロデイ脆弱性は、Word 文書を起動するだけで、リモートにホストされているマルウェア実行ファイルを取り込んだかたちで、検索ウィンドウを自動的に開いてしまうとされる。このセキュリティ上の問題は、Windows が search-ms と呼ばれる URI プロトコル・ハンドラをサポートしているため、アプリケーションと HTML リンクを組み合わたせた、悪意の検索にも利用されてしまう。

ほとんどの Windows 検索はローカル・デバイスのインデックスを検索するが、このケースではリモート・ホスト上のファイル共有を照会させ、検索ウィンドウでカスタム・タイトルを使用することも可能である。たとえば、人気の Sysinternals ツールセットでは、ネットワーク共有として live.sysinternals.com をリモート・マウントし、そのユーティリティを起動することが可能である。このリモート共有を検索して、特定の名前にマッチするファイルのみをリストアップするには、次のような search-ms URI を使用する。


上のコマンドからも分かるように、search-ms の crumb 変数が検索する場所を指定し、displayname 変数が検索タイトルを指定する。このコマンドを Windows 7/10/11 の Run ダイアログや、Web ブラウザのアドレスバーから実行すると、以下のようなカスタマイズされた検索ウィンドウが表示される。

Windows Search on a remote file share
Windows Search on a remote file share
Source: BleepingComputer

このウィンドウのタイトルが、search-ms URI で指定した Searching Sysinternals という表示名になっていることに注目してほしい。脅威アクターは、これと同じ方法を悪意の攻撃に使用することが可能であり、たとえばインストールが必要なセキュリティ・アップデート/パッチを装った、フィッシング・メールを送信できる。

そして、セキュリティ・アップデートを装ったマルウェアをホストするために、Windows のリモート共有を設定し、フィッシング・メールに添付ファイルや search-ms URI を埋め込むことが可能だ。しかし、このような URL をユーザーにクリックさせることは容易ではなく、特に以下のような警告が表示される場合は注意が必要となる。

Browser warning when launching URI protocol handlers
Browser warning when launching URI protocol handlers
Source: BleepingComputer

しかし、Hacker House の共同設立者であり、セキュリティ研究者でもある Matthew Hickey は、新たに発見された Microsoft Office OLEObject の欠陥と、search-ms プロトコル・ハンドラを組み合わせることで、Word 文書を開くだけでリモート検索ウィンドウを開く方法を発見した。

Microsoft Office が次のレベルへ

今週に研究者たちは Microsoft Windows Support Diagnostic Tool (MSDT) に存在する新しいゼロデイ脆弱性を、脅威アクターが利用していることを発見した。この脆弱性を悪用する脅威者たちは、文書を開くだけで PowerShell コマンドを実行する、ms-msdt URI プロトコル・ハンドラを起動するという、悪意の Word 文書を作成している。

脆弱性 CVE-2022-30190 の悪用に成功した脅威アクターは、Microsoft Office 文書を改変して Protected View を回避し、ユーザーの操作なしに URI プロトコル・ハンドラを起動することが可能になり、さらなるプロトコル・ハンドラの悪用を開始するかもしれない。このような悪用の方式は、昨日に Hickey が、既存の Microsoft Word の MSDT エクスプロイトを応用し、search-ms プロトコル・ハンドラを利用したものと同じである。

この新しい PoC エクスプロイトでは、ユーザーが Word 文書を開くと、自動的に search-ms コマンドが起動され、リモート SMB で共有される実行形式のファイルをリストアップする、Windows Search ウィンドウが開かれる。この共有には、Critical Updates といった、脅威アクターが望む名前を付けることが可能であり、リスト・アップされたマルウェアをインストールするようユーザーに促す。

MSDT の悪用と同様に、Explorer のプレビュー・ペインに文書が表示されると、自動的に Windows Search ウィンドウを開く RTF バージョンを作成できることも、Matthew Hickey は示している。

この種の不正な Word 文書を悪用する脅威アクターは、受信者の デバイス上で Windows Search ウィンドウを自動的に起動し、マルウェアを起動させるように仕向けるという、手の込んだフィッシング・キャンペーンを仕掛けられる。

この脆弱性は、MS-MSDT のリモートコード実行の脆弱性ほど深刻ではないが、巧妙なフィッシング・キャンペーンを行おうとする、勤勉な脅威アクターに悪用される可能性がある。私たちは、この新しい欠陥を脅威アクターが悪用する方法を発見しているが、明白な理由により、この情報を共有するつもりはない。この脆弱性を緩和するには、ms-msdt の脆弱性対策と同様に、Windows レジストリから search-ms プロトコル・ハンドラを削除すればよいと、Hickey は述べている。

  1. コマンド・プロンプトを管理者として実行する。
  2. レジストリキーをバックアップするために、”reg export HKEY_CLASSES_ROOTseearch-ms search-ms.reg” というコマンドを実行する。
  3. reg delete HKEY_CLASSES_ROOT\search-ms /f” コマンドを実行する。

Windows ProtocolNightmare

MSDT と search-ms の悪用例は、どちらも新しいものではなく、2020年に Benjamin Altpeter が Electron アプリケーションのセキュリティに関する論文で公開したものである。しかし、ユーザーの操作を伴わないフィッシング攻撃のために、Word 文書が武器化され始め、ゼロデイ脆弱性に変化したのは最近のことである。

脆弱性 CVE-2022-30190 に対する Microsoft のガイダンスによると、Microsoft Office を悪用する脅威アクターが、ユーザーの操作なしにこれらの URI を起動できるという事実よりも、プロトコル・ハンドラの欠陥と基盤となる Windows の機能に取り組んでいるように見受けられる。CERT/CC の脆弱性アナリストである Will Dormann が言うように、これらの悪用は実際には2つの異なる欠陥を利用している。したがって、Microsoft Office の URI 問題を修正しなければ、さらなるプロトコル・ハンドラの悪用が行われるだろう。

Will Dormann tweet

BleepingComputer に対して Matthew Hickey は、「必ずしもプロトコル・ハンドラの欠陥ではなく、むしろ Microsoft Office OLEObject search-ms Location Path Spoofing Vulnerability につながる組み合わせの問題であると考えている。次善の策は、このようなスプーフィング攻撃を防ぐために、検索機能のタイトルとロケーション設定メッセージを修正するか、URI ハンドラとして無効にすることだ」と述べている。

6月に入ってから研究者たちは、PrintNightmare に追加される新たな Windows Spooler RCE 脆弱性の技術的詳細と PoC エクスプロイトを、偶然にも公開している。この RCE コンポーネントは直ちに修正されたが、その後も PrintNightmare に分類されるローカル権限昇格型の脆弱性が広範囲に発見されている。Microsoft が Windows Printing に抜本的な変更を加えるまでの間、この脆弱性クラスは数多くの問題を引き起こしていたが、最終的にはコントロールすることができた。

つまり、プロトコル・ハンドラの問題に対して Windows 機能側のみで取り組んでも、研究者たちは URI ハンドラの新たな悪用方法を見つけ続けるという、まったく新しいProtocolNightmare 分類に Microsoft は直面しているのだ。ユーザーの操作を必要としない Microsoft Office における URI ハンドラの起動を、Microsoft が抜本的なレベルで阻止するまでは、新しいエクスプロイトがリリースされ、新しいニュースが続出することを覚悟する必要がるだろう。

Microsoft Windows Support Diagnostic Tool (MSDT) の脆弱性で、CVE-2022-30190 なので、Follina のことですね。しかし、この記事では、Follina ではなく、ProtocolNightmare という言葉を使っています。検索してみましたが、ヒットするのは最近の情報だけなので、PrintNightmare にちなんで ProtocolNightmare と呼ばれているのかもしれません。このブログで Follina で検索すると、5月31日までにポストされた3本の記事が見つかりますが、今回のものが、詳細まで解説するものとなっています。

%d bloggers like this: