Microsoft Office Zero-Day sebezhetőség visszaélve végrehajtásához PowerShell
2022. május 27-én a Nao_Sec (1) felfedezett egy nulladik napi távoli kódfuttatási hibát a Microsoft Office-ban, amelyet Kevin Beaumont kutató "Follina" néven emlegetett. Ez a sebezhetőség lehetővé teszi egy nem hitelesített személy számára, hogy letöltött Microsoft Office-fájlok kihasználásával tartós hozzáférést szerezzen és távolról átvegye az irányítást a célrendszer felett. A hackerek a Microsoft Diagnostic Tool (MSDT) segítségével rosszindulatú PowerShell-parancsokat hajthatnak végre, még akkor is, ha az Office makrók le vannak tiltva.
"A dokumentum a Word távoli sablon funkcióját használja egy távoli webszerverről származó HTML-fájl lekérdezésére, amely viszont az ms-msdt MSProtocol URI-sémát használja néhány kód betöltésére és néhány PowerShell parancs végrehajtására" - magyarázta Kevin Beaumont kutató. "Ennek nem szabadna lehetségesnek lennie." (2)
2022. május 30-án a Microsoft kiadta a CVE-2022-30190 kódot. A Microsoft Office 2013-as, 2016-os, 2019-es és 2021-es verziója, valamint a Professional Plus kiadások érintettek. Azonban 2022. június 1-jén még nem áll rendelkezésre javítócsomag.
Ebben a blogbejegyzésben elemezzük a kártevő mintát, és megmutatjuk, hogyan védekezhet a támadások ellen.
A CVE-2022-30190 kóddal visszaélő támadás áttekintése
A minta elemzésével megállapítottuk, hogy a támadás megközelítése nem új. A fenyegetés szerzője hasonló támadási vektort használt, mint a CVE-2021-40444-et kihasználó kampány 2021 szeptemberében. Mindkét támadás egy kapcsolatfájlban lévő külső linket használt, amely egy rosszindulatú HTML-fájlhoz vezetett.
A kiberbűnözők adathalászatot vagy social engineeringet alkalmazva egy fegyverré tett Microsoft Word-fájlt (.docx) juttattak el a célzott áldozatokhoz, és rávették őket annak megnyitására. A fájl egy külső URL-t tartalmaz, amely egy HTML-re hivatkozik, amely szokatlan JavaScript-kódot tartalmaz.
Ez a JavaScript egy ms-msdt: sémájú URL-re hivatkozik, amely távoli kódot hajthat végre.
Hogyan előzze meg a támadást
2022. május 30-án a Microsoft közzétett egy útmutatót a felhasználóknak az újonnan felfedett sebezhetőség enyhítésére szolgáló megoldásokról (3). Jelenleg az MSDT URL protokoll letiltása tűnik a legegyszerűbb megoldásnak. Mindazonáltal még nem világos, hogy az MSDT URL protokoll letiltásának milyen hatása lehet.
Ha azonban a OPSWAT MetaDefender az iparágvezető Deep CDR (Content Disarm and Reconstruction) technológiát használja, nem kell aggódnia mindezek miatt. Hálózata és felhasználói biztonságban vannak a támadásoktól, mivel a Deep CDR a káros fájlokban elrejtett összes aktív tartalmat hatástalanítja, mielőtt az eljutna a felhasználókhoz.
Az alábbiakban bemutatjuk, hogy a Deep CDR hogyan kezeli a rosszindulatú fájlt, és hogyan generál egy biztonságosan fogyasztható fájlt a felhasználók számára, függetlenül attól, hogy az Ön webes alkalmazásába töltötték fel, vagy e-mail mellékletként kapták.
Semlegesítse a mérgező Microsoft Word fájlt
Amint a rosszindulatú URL-címmel rendelkező .docx fájl e-mailen, fájlfeltöltésen stb. keresztül bejut a szervezet hálózatába, a MetaDefender a OPSWAT Metascan segítségével több rosszindulatú programok elleni motorral vizsgálja azt, és megvizsgálja a fájlt a potenciális fenyegetések, például OLE-objektumok, hiperlinkek, szkriptek stb. szempontjából. Ezután az összes beágyazott fenyegetést eltávolítja vagy rekurzívan szanálja a Deep CDR konfigurációktól függően. Amint az a fájlfeldolgozás eredményében látható, egy OLE-objektumot eltávolítottunk, az XML-tartalmat pedig szanáltuk.
A folyamat után a .docx dokumentum már nem tartalmazza a rosszindulatú HTML-linket, mivel azt egy "üres" linkkel helyettesítették. Ennek eredményeképpen, még ha a belső felhasználók meg is nyitják a fájlt, nem töltődik be és nem hajtódik végre rosszindulatú program.
A folyamat után kiadott megtisztított fájlt mind az OPSWAT Metascan, mind a MetaDefender Sandbox segítségével megvizsgálva láthatjuk, hogy a dokumentum kockázatmentes.
A HTML fájl JavaScriptjének kikapcsolása
Abban az esetben, ha a Deep CDR motort úgy konfigurálja, hogy elfogadja a fájlokban lévő URL-címeket, akkor is teljes védelmet élvez. Deep CDR eltávolítja a betöltött HTML-fájlban lévő rosszindulatú JavaScriptet, mivel az potenciális fenyegetésnek minősül. A JavaScript nélkül a PowerShell kód nem tölthető le és nem hajtható végre. Felhasználói teljes használhatósággal nyithatják meg és használhatják a veszélyektől mentes, rekonstruált fájlt.
Ne hagyatkozzon a felderítésre
Ezt az új kihasználási módszert nehéz felismerni, mivel a kártevő egy távoli sablonból töltődik be, így a .docx fájl megkerülheti a hálózati védelmet, mivel nem tartalmaz rosszindulatú kódot (2). Hasonlóképpen, a kiberbűnözők továbbra is aktívan kihasználják a sebezhetőségeket, és a Microsoft Office programokat és funkciókat, például makrókat, külső hivatkozásokat, OLE-objektumokat stb. kihasználva különböző támadási vektorokkal élnek vissza a rosszindulatú programok továbbítására vagy elindítására. A valódi zéró bizalom megvalósítása esetén nem lehet a nulladik napi támadások megelőzése érdekében a detektálásból a védelembe történő biztonsági modellre támaszkodni. A szervezeteknek átfogó fenyegetésmegelőzési megoldásra van szükségük, amely megvédi őket az ismert és ismeretlen rosszindulatú programoktól egyaránt.
A Deep CDR innovatív és hatékony megoldás a fejlett, kitérő rosszindulatú programok és a nulladik napi támadások legyőzésére. Az összes gyanús futtatható komponens hatástalanításával a legkorábbi szakaszban megállítja a támadásokat, és ugyanakkor 100%-os fenyegetésmentességet biztosít a fájlok biztonságos fogyasztásához.
Tudjon meg többet a Deep CDR technológiáról. Ha szeretné megtudni, hogyan segíthetünk átfogó védelmet nyújtani szervezetének a fegyverként használt dokumentumok ellen, beszéljen most az OPSWAT szakértőjével.
Hivatkozás
[1] https://twitter.com/nao_sec/status/1530196847679401984
