Puteți face ceva în privința Follinei?

Vulnerabilitatea Microsoft Office Zero-Day a fost abuzată pentru a executa PowerShell

La 27 mai 2022, un bug de zi zero de execuție de cod de la distanță în Microsoft Office a fost descoperit de Nao_Sec (1) și denumit "Follina" de către cercetătorul Kevin Beaumont. Această vulnerabilitate permite unei persoane neautentificate să obțină acces persistent și să preia controlul asupra unui sistem țintă de la distanță prin exploatarea fișierelor Microsoft Office descărcate. Hackerii o pot folosi pentru a executa comenzi PowerShell malițioase prin intermediul Microsoft Diagnostic Tool (MSDT) chiar dacă macrourile Office sunt dezactivate.

"Documentul folosește caracteristica de șablon la distanță a Word pentru a prelua un fișier HTML de la un server web de la distanță, care, la rândul său, folosește schema MSProtocol URI ms-msdt MSProtocol pentru a încărca niște cod și a executa niște PowerShell", a explicat cercetătorul Kevin Beaumont. "Acest lucru nu ar trebui să fie posibil". (2)

La 30 mai 2022, Microsoft a emis CVE-2022-30190. Versiunile Microsoft Office 2013, 2016, 2019 și 2021, precum și edițiile Professional Plus, sunt afectate. Cu toate acestea, nu există niciun patch disponibil la data de 1 iunie 2022.

În această postare pe blog, analizăm eșantionul de malware și vă arătăm cum să vă apărați de atacuri.

Prezentare generală a atacului care abuzează de CVE-2022-30190

Analizând eșantionul, am constatat că abordarea atacului nu este nouă. Autorul amenințării a folosit un vector de atac similar cu cel al campaniei care exploata CVE-2021-40444 în septembrie 2021. Ambele atacuri au folosit un link extern într-un fișier de relații care duce la un fișier HTML rău intenționat.

Folosind phishing sau inginerie socială, infractorii cibernetici au livrat un fișier Microsoft Word (.docx) armat victimelor vizate și le-au păcălit să îl deschidă. Fișierul conține un URL extern care face trimitere la un HTML, care are un cod JavaScript neobișnuit.

Acest JavaScript face referire la un URL cu schema ms-msdt: care poate executa un cod de la distanță. 

Cum să preveniți atacul

On 30 May 2022, Microsoft published guidance on workarounds to support users mitigating the newly exposed vulnerability (3). Currently, disabling the MSDT URL protocol appears to be the easiest option. Nevertheless, it is not yet clear what the impact of disabling MSDT URL protocol could be.

However, if you are using OPSWAT MetaDefender with our industry-leading Deep CDR™ Technology (Content Disarm and Reconstruction) technology, you don't have to worry about all of these things. Your network and users are safe from the attacks since all the active content concealed in the harmful files is disabled by Deep CDR™ Technology before reaching your users.

Hereunder, we demonstrate how Deep CDR™ Technology handles the malicious file and generates a safe-to-consume file for your users whether it was uploaded to your web application or received as an email attachment.

Neutralizați fișierul toxic Microsoft Word

Once the .docx file with a malicious URL enters your organization's network via emails, file uploads, etc., MetaDefender scans it with multiple anti-malware engines using OPSWAT Metascan and examines the file for potential threats, such as OLE objects, hyperlinks, scripts, etc. Next, all the embedded threats are removed or recursively sanitized depending on Deep CDR™ Technology configurations. As shown in our file processing result, an OLE object was removed and the XML content was sanitized.

După proces, documentul .docx nu mai conține linkul HTML malițios, deoarece a fost înlocuit cu un link "gol". Prin urmare, chiar dacă utilizatorii dvs. interni deschid fișierul, nu este încărcat și executat niciun program malware.

Scanând fișierul curățat eliberat după proces atât cu OPSWAT Metascan, cât și cu MetaDefender Sandbox , putem vedea că documentul este lipsit de riscuri.

Dezactivați JavaScript-ul din fișierul HTML

In case you configure Deep CDR™ Technology engine to accept URLs in files, you are still completely protected. Deep CDR™ Technology removes the malicious JavaScript in the loaded HTML file because it's considered as a potential threat. Without the JavaScript, the PowerShell code cannot be downloaded and executed. Your users can open and use the threat-free reconstructed file with full usability.

Nu vă bazați pe detecție

This new exploitation method is hard to detect because the malware is loaded from a remote template, so the .docx file can bypass the network defense as it does not contain malicious code (2). Likewise, cybercriminals continue to actively exploit vulnerabilities and abuse various attack vectors leveraging Microsoft Office programs and features like macros, external links, OLE objects, and so on to deliver or trigger malware. For a true zero trust implementation, you cannot rely on a detect-to-protect security model to prevent zero-day attacks. Organizations need a comprehensive threat prevention solution to protect them from both known and unknown malware.

Deep CDR™ Technology is an innovative and effective solution to defeat advanced evasive malware and zero-day attacks. It stops the attacks at the earliest stage by disarming all suspect executable components, and at the same time, providing 100% threat-free safe to consume files.

Learn more about Deep CDR™ Technology. To see how we can help provide comprehensive protection to your organization against weaponized documents, talk to an OPSWAT specialist now.

Referință

[1] https://twitter.com/nao_sec/status/1530196847679401984

[2] https://medium.com/m/global-identity?redirectUrl=https%3A%2F%2Fdoublepulsar.com%2Ffollina-a-microsoft-office-code-execution-vulnerability-1a47fce5629e

[3] https://msrc-blog.microsoft.com/2022/05/30/guidance-for-cve-2022-30190-microsoft-support-diagnostic-tool-vulnerability/