Vulnerabilitatea Microsoft Office Zero-Day a fost abuzată pentru a executa PowerShell
La 27 mai 2022, un bug de zi zero de execuție de cod de la distanță în Microsoft Office a fost descoperit de Nao_Sec (1) și denumit "Follina" de către cercetătorul Kevin Beaumont. Această vulnerabilitate permite unei persoane neautentificate să obțină acces persistent și să preia controlul asupra unui sistem țintă de la distanță prin exploatarea fișierelor Microsoft Office descărcate. Hackerii o pot folosi pentru a executa comenzi PowerShell malițioase prin intermediul Microsoft Diagnostic Tool (MSDT) chiar dacă macrourile Office sunt dezactivate.
"Documentul folosește caracteristica de șablon la distanță a Word pentru a prelua un fișier HTML de la un server web de la distanță, care, la rândul său, folosește schema MSProtocol URI ms-msdt MSProtocol pentru a încărca niște cod și a executa niște PowerShell", a explicat cercetătorul Kevin Beaumont. "Acest lucru nu ar trebui să fie posibil". (2)
La 30 mai 2022, Microsoft a emis CVE-2022-30190. Versiunile Microsoft Office 2013, 2016, 2019 și 2021, precum și edițiile Professional Plus, sunt afectate. Cu toate acestea, nu există niciun patch disponibil la data de 1 iunie 2022.
În această postare pe blog, analizăm eșantionul de malware și vă arătăm cum să vă apărați de atacuri.
Prezentare generală a atacului care abuzează de CVE-2022-30190
Analizând eșantionul, am constatat că abordarea atacului nu este nouă. Autorul amenințării a folosit un vector de atac similar cu cel al campaniei care exploata CVE-2021-40444 în septembrie 2021. Ambele atacuri au folosit un link extern într-un fișier de relații care duce la un fișier HTML rău intenționat.
Folosind phishing sau inginerie socială, infractorii cibernetici au livrat un fișier Microsoft Word (.docx) armat victimelor vizate și le-au păcălit să îl deschidă. Fișierul conține un URL extern care face trimitere la un HTML, care are un cod JavaScript neobișnuit.
Acest JavaScript face referire la un URL cu schema ms-msdt: care poate executa un cod de la distanță.
Cum să preveniți atacul
La 30 mai 2022, Microsoft a publicat orientări privind soluțiile de remediere pentru a sprijini utilizatorii în atenuarea vulnerabilității recent expuse (3). În prezent, dezactivarea protocolului MSDT URL pare a fi cea mai ușoară opțiune. Cu toate acestea, nu este încă clar care ar putea fi impactul dezactivării protocolului MSDT URL.
Cu toate acestea, dacă utilizați OPSWAT MetaDefender cu sistemul nostru de vârf din industrie Deep CDR (Content Disarm and Reconstruction), nu trebuie să vă faceți griji pentru toate aceste lucruri. Rețeaua și utilizatorii dvs. sunt protejați de atacuri, deoarece tot conținutul activ ascuns în fișierele dăunătoare este dezactivat de Deep CDR înainte de a ajunge la utilizatori.
În cele ce urmează, vom demonstra modul în care Deep CDR gestionează fișierul rău intenționat și generează un fișier sigur de consumat pentru utilizatorii dvs., indiferent dacă acesta a fost încărcat în aplicația dvs. web sau primit ca atașament de e-mail.
Neutralizați fișierul toxic Microsoft Word
Odată ce fișierul .docx cu un URL malițios intră în rețeaua organizației dvs. prin e-mailuri, încărcări de fișiere etc., MetaDefender îl scanează cu mai multe motoare anti-malware utilizând OPSWAT Metascan și examinează fișierul pentru potențiale amenințări, precum obiecte OLE, hyperlink-uri, script-uri etc. În continuare, toate amenințările încorporate sunt eliminate sau salubrizate recursiv în funcție de configurațiile Deep CDR . După cum se arată în rezultatul prelucrării fișierului nostru, un obiect OLE a fost eliminat, iar conținutul XML a fost igienizat.
După proces, documentul .docx nu mai conține linkul HTML malițios, deoarece a fost înlocuit cu un link "gol". Prin urmare, chiar dacă utilizatorii dvs. interni deschid fișierul, nu este încărcat și executat niciun program malware.
Scanând fișierul curățat eliberat după proces atât cu OPSWAT Metascan, cât și cu MetaDefender Sandbox , putem vedea că documentul este lipsit de riscuri.
Dezactivați JavaScript-ul din fișierul HTML
În cazul în care configurați motorul Deep CDR pentru a accepta URL-uri în fișiere, sunteți în continuare complet protejat. Deep CDR elimină JavaScript-ul malițios din fișierul HTML încărcat, deoarece este considerat o amenințare potențială. Fără JavaScript, codul PowerShell nu poate fi descărcat și executat. Utilizatorii dvs. pot deschide și utiliza fișierul reconstruit fără amenințări, cu o capacitate de utilizare deplină.
Nu vă bazați pe detecție
Această nouă metodă de exploatare este greu de detectat deoarece malware-ul este încărcat dintr-un șablon de la distanță, astfel încât fișierul .docx poate ocoli apărarea rețelei deoarece nu conține cod rău intenționat (2). De asemenea, infractorii cibernetici continuă să exploateze în mod activ vulnerabilitățile și să abuzeze de diverși vectori de atac, valorificând programele și caracteristicile Microsoft Office, cum ar fi macro-urile, legăturile externe, obiectele OLE și așa mai departe, pentru a furniza sau a declanșa programe malware. Pentru o implementare cu încredere zero veritabilă, nu vă puteți baza pe un model de securitate detectare-protecție pentru a preveni atacurile zero-day. Organizațiile au nevoie de o soluție completă de prevenire a amenințărilor care să le protejeze atât de malware-ul cunoscut, cât și de cel necunoscut.
Deep CDR este o soluție inovatoare și eficientă pentru a învinge malware-ul evaziv avansat și atacurile zero-day. Aceasta oprește atacurile în cel mai timpuriu stadiu prin dezarmarea tuturor componentelor executabile suspecte și, în același timp, oferă fișiere de consum 100% sigure și fără amenințări.
Aflați mai multe despre tehnologiaDeep CDR . Pentru a vedea cum vă putem ajuta să oferiți organizației dvs. protecție completă împotriva documentelor transformate în arme, discutați acum cu un specialist OPSWAT .
Referință
[1] https://twitter.com/nao_sec/status/1530196847679401984
