Vulnerabilitatea Microsoft Office Zero-Day a fost abuzată pentru a executa PowerShell
La 27 mai 2022, un bug de zi zero de execuție de cod de la distanță în Microsoft Office a fost descoperit de Nao_Sec (1) și denumit "Follina" de către cercetătorul Kevin Beaumont. Această vulnerabilitate permite unei persoane neautentificate să obțină acces persistent și să preia controlul asupra unui sistem țintă de la distanță prin exploatarea fișierelor Microsoft Office descărcate. Hackerii o pot folosi pentru a executa comenzi PowerShell malițioase prin intermediul Microsoft Diagnostic Tool (MSDT) chiar dacă macrourile Office sunt dezactivate.
"Documentul folosește caracteristica de șablon la distanță a Word pentru a prelua un fișier HTML de la un server web de la distanță, care, la rândul său, folosește schema MSProtocol URI ms-msdt MSProtocol pentru a încărca niște cod și a executa niște PowerShell", a explicat cercetătorul Kevin Beaumont. "Acest lucru nu ar trebui să fie posibil". (2)
La 30 mai 2022, Microsoft a emis CVE-2022-30190. Versiunile Microsoft Office 2013, 2016, 2019 și 2021, precum și edițiile Professional Plus, sunt afectate. Cu toate acestea, nu există niciun patch disponibil la data de 1 iunie 2022.
În această postare pe blog, analizăm eșantionul de malware și vă arătăm cum să vă apărați de atacuri.
Prezentare generală a atacului care abuzează de CVE-2022-30190
Analizând eșantionul, am constatat că abordarea atacului nu este nouă. Autorul amenințării a folosit un vector de atac similar cu cel al campaniei care exploata CVE-2021-40444 în septembrie 2021. Ambele atacuri au folosit un link extern într-un fișier de relații care duce la un fișier HTML rău intenționat.
Folosind phishing sau inginerie socială, infractorii cibernetici au livrat un fișier Microsoft Word (.docx) armat victimelor vizate și le-au păcălit să îl deschidă. Fișierul conține un URL extern care face trimitere la un HTML, care are un cod JavaScript neobișnuit.
Acest JavaScript face referire la un URL cu schema ms-msdt: care poate executa un cod de la distanță.
Cum să preveniți atacul
La 30 mai 2022, Microsoft a publicat îndrumări privind soluțiile alternative pentru a ajuta utilizatorii să atenueze vulnerabilitatea recent descoperită (3). În prezent, dezactivarea protocolului URL MSDT pare a fi cea mai simplă opțiune. Cu toate acestea, nu este încă clar care ar putea fi impactul dezactivării protocolului URL MSDT.
Cu toate acestea, dacă utilizați OPSWAT MetaDefender cu tehnologia noastră de vârf Deep CDR™ (Content Disarm and Reconstruction), nu trebuie să vă faceți griji cu privire la toate aceste aspecte. Rețeaua și utilizatorii dvs. sunt protejați împotriva atacurilor, deoarece tot conținutul activ ascuns în fișierele dăunătoare este dezactivat de tehnologia Deep CDR™ înainte de a ajunge la utilizatori.
Mai jos, vă demonstrăm cum tehnologia Deep CDR™ tratează fișierul rău intenționat și generează un fișier sigur pentru utilizatori, indiferent dacă acesta a fost încărcat în aplicația dvs. web sau primit ca atașament la un e-mail.
Neutralizați fișierul toxic Microsoft Word
Odată ce fișierul .docx cu o adresă URL rău intenționată pătrunde în rețeaua organizației dvs. prin e-mailuri, încărcări de fișiere etc., MetaDefender îl MetaDefender cu mai multe motoare anti-malware folosind OPSWAT și examinează fișierul pentru a detecta potențiale amenințări, cum ar fi obiecte OLE, hyperlinkuri, scripturi etc. Apoi, toate amenințările încorporate sunt eliminate sau curățate recursiv, în funcție de configurațiile tehnologiei Deep CDR™. După cum se arată în rezultatul procesării fișierului nostru, un obiect OLE a fost eliminat, iar conținutul XML a fost curățat.
După proces, documentul .docx nu mai conține linkul HTML malițios, deoarece a fost înlocuit cu un link "gol". Prin urmare, chiar dacă utilizatorii dvs. interni deschid fișierul, nu este încărcat și executat niciun program malware.
Scanând fișierul curățat eliberat după proces cu OPSWAT și MetaDefender , putem vedea că documentul nu prezintă riscuri.
Dezactivați JavaScript-ul din fișierul HTML
În cazul în care configurați motorul Deep CDR™ Technology pentru a accepta adrese URL în fișiere, sunteți în continuare complet protejat. Deep CDR™ Technology elimină JavaScript-ul rău intenționat din fișierul HTML încărcat, deoarece este considerat o potențială amenințare. Fără JavaScript, codul PowerShell nu poate fi descărcat și executat. Utilizatorii dvs. pot deschide și utiliza fișierul reconstruit fără amenințări, cu o utilizabilitate completă.
Nu vă bazați pe detecție
Această nouă metodă de exploatare este greu de detectat, deoarece malware-ul este încărcat dintr-un șablon la distanță, astfel încât fișierul .docx poate ocoli apărarea rețelei, deoarece nu conține cod rău intenționat (2). De asemenea, infractorii cibernetici continuă să exploateze în mod activ vulnerabilitățile și să abuzeze de diverși vectori de atac, folosind programele și funcțiile Microsoft Office, cum ar fi macrocomenzile, linkurile externe, obiectele OLE și așa mai departe, pentru a livra sau declanșa malware. Pentru o implementare zero trust adevărată, nu vă puteți baza pe un model de securitate de tip detectare-protecție pentru a preveni atacurile zero-day. Organizațiile au nevoie de o soluție cuprinzătoare de prevenire a amenințărilor pentru a le proteja atât de malware-ul cunoscut, cât și de cel necunoscut. Tehnologia
Tehnologia Deep CDR™ este o soluție inovatoare și eficientă pentru a combate malware-ul avansat evaziv și atacurile zero-day. Aceasta oprește atacurile în stadiul incipient, dezarmând toate componentele executabile suspecte și, în același timp, oferind fișiere 100% sigure, fără amenințări.
Aflați mai multe despre tehnologia Deep CDR™. Pentru a afla cum vă putem ajuta să oferiți organizației dvs. o protecție completă împotriva documentelor transformate în arme, discutați acum cu un OPSWAT .
