Microsoft Office Zero-Day sebezhetőség visszaélve végrehajtásához PowerShell
2022. május 27-én a Nao_Sec (1) felfedezett egy nulladik napi távoli kódfuttatási hibát a Microsoft Office-ban, amelyet Kevin Beaumont kutató "Follina" néven emlegetett. Ez a sebezhetőség lehetővé teszi egy nem hitelesített személy számára, hogy letöltött Microsoft Office-fájlok kihasználásával tartós hozzáférést szerezzen és távolról átvegye az irányítást a célrendszer felett. A hackerek a Microsoft Diagnostic Tool (MSDT) segítségével rosszindulatú PowerShell-parancsokat hajthatnak végre, még akkor is, ha az Office makrók le vannak tiltva.
"A dokumentum a Word távoli sablon funkcióját használja egy távoli webszerverről származó HTML-fájl lekérdezésére, amely viszont az ms-msdt MSProtocol URI-sémát használja néhány kód betöltésére és néhány PowerShell parancs végrehajtására" - magyarázta Kevin Beaumont kutató. "Ennek nem szabadna lehetségesnek lennie." (2)
2022. május 30-án a Microsoft kiadta a CVE-2022-30190 kódot. A Microsoft Office 2013-as, 2016-os, 2019-es és 2021-es verziója, valamint a Professional Plus kiadások érintettek. Azonban 2022. június 1-jén még nem áll rendelkezésre javítócsomag.
Ebben a blogbejegyzésben elemezzük a kártevő mintát, és megmutatjuk, hogyan védekezhet a támadások ellen.
A CVE-2022-30190 kóddal visszaélő támadás áttekintése
A minta elemzésével megállapítottuk, hogy a támadás megközelítése nem új. A fenyegetés szerzője hasonló támadási vektort használt, mint a CVE-2021-40444-et kihasználó kampány 2021 szeptemberében. Mindkét támadás egy kapcsolatfájlban lévő külső linket használt, amely egy rosszindulatú HTML-fájlhoz vezetett.
A kiberbűnözők adathalászatot vagy social engineeringet alkalmazva egy fegyverré tett Microsoft Word-fájlt (.docx) juttattak el a célzott áldozatokhoz, és rávették őket annak megnyitására. A fájl egy külső URL-t tartalmaz, amely egy HTML-re hivatkozik, amely szokatlan JavaScript-kódot tartalmaz.
Ez a JavaScript egy ms-msdt: sémájú URL-re hivatkozik, amely távoli kódot hajthat végre.
Hogyan előzze meg a támadást
2022. május 30-án a Microsoft útmutatást tett közzé az újonnan feltárt sebezhetőség (3) kockázatának csökkentését célzó ideiglenes megoldásokról. Jelenleg az MSDT URL-protokoll letiltása tűnik a legegyszerűbb megoldásnak. Ugyanakkor egyelőre nem világos, milyen következményekkel járhat az MSDT URL-protokoll letiltása.
Ha azonban Ön OPSWAT MetaDefender terméket az iparágvezető Deep CDR™ (Content Disarm and Reconstruction) technológiával, akkor nem kell aggódnia ezek miatt. Hálózata és felhasználói biztonságban vannak a támadásoktól, mivel a káros fájlokban elrejtett összes aktív tartalmat a Deep CDR™ technológia letiltja, mielőtt az eljutna a felhasználókhoz.
Az alábbiakban bemutatjuk, hogyan kezeli a Deep CDR™ technológia a rosszindulatú fájlt, és hogyan hoz létre egy biztonságosan használható fájlt a felhasználók számára, függetlenül attól, hogy azt a webalkalmazásába töltötték fel, vagy e-mail mellékletként kapták meg.
Semlegesítse a mérgező Microsoft Word fájlt
Amint a rosszindulatú URL-t tartalmazó .docx fájl e-maileken, fájlfeltöltéseken stb. keresztül bekerül a szervezet hálózatába, MetaDefender OPSWAT segítségével több kártevőirtó motorral MetaDefender azt, és ellenőrzi a fájlt az esetleges fenyegetések – például OLE-objektumok, hiperhivatkozások, szkriptek stb. – szempontjából. Ezt követően az összes beágyazott fenyegetést eltávolítják vagy rekurzív módon megtisztítják, a Deep CDR™ technológia beállításaitól függően. Ahogyan a fájlfeldolgozási eredményünk is mutatja, egy OLE-objektumot eltávolítottunk, az XML-tartalmat pedig megtisztítottuk.
A folyamat után a .docx dokumentum már nem tartalmazza a rosszindulatú HTML-linket, mivel azt egy "üres" linkkel helyettesítették. Ennek eredményeképpen, még ha a belső felhasználók meg is nyitják a fájlt, nem töltődik be és nem hajtódik végre rosszindulatú program.
Ha a folyamat után kiadott, megtisztított fájlt mind OPSWAT , mind MetaDefender programmal átvizsgáljuk, láthatjuk, hogy a dokumentum kockázatmentes.
A HTML fájl JavaScriptjének kikapcsolása
Ha a Deep CDR™ Technology motort úgy konfigurálja, hogy elfogadja a fájlokban található URL-eket, akkor is teljes védelmet élvez. A Deep CDR™ Technology eltávolítja a betöltött HTML-fájlban található rosszindulatú JavaScript-kódot, mivel azt potenciális fenyegetésnek tekinti. A JavaScript nélkül a PowerShell-kód nem tölthető le és nem futtatható. A felhasználók teljes mértékben használható, fenyegetésmentes, rekonstruált fájlt nyithatnak meg és használhatnak.
Ne hagyatkozzon a felderítésre
Ezt az új támadási módszert nehéz felismerni, mivel a kártevő szoftvert egy távoli sablonból töltik be, így a .docx fájl képes kijátszani a hálózati védelmet, mivel nem tartalmaz rosszindulatú kódot (2). Hasonlóképpen a kiberbűnözők továbbra is aktívan kihasználják a sebezhetőségeket, és visszaélnek a különféle támadási vektorokkal, kihasználva a Microsoft Office programjait és olyan funkcióit, mint a makrók, a külső linkek, az OLE-objektumok stb., hogy kártevő szoftvereket juttassanak el a célponthoz vagy aktiváljanak. A valódi zero trust megvalósításához nem támaszkodhat a „detect-to-protect” biztonsági modellre a zero-day támadások megelőzése érdekében. A szervezeteknek átfogó fenyegetésmegelőző megoldásra van szükségük, hogy megvédjék magukat mind az ismert, mind az ismeretlen rosszindulatú programoktól.
A Deep CDR™ technológia egy innovatív és hatékony megoldás a fejlett, nehezen felismerhető rosszindulatú programok és a zero-day támadások leküzdésére. A támadásokat a legkorábbi szakaszban megállítja azáltal, hogy minden gyanús futtatható komponenst hatástalanít, és egyúttal 100%-ban fenyegetésmentes, biztonságosan használható fájlokat biztosít.
Tudjon meg többet a Deep CDR™ technológiáról. Ha szeretné megtudni, hogyan tudunk átfogó védelmet nyújtani szervezetének a fegyverként használt dokumentumok ellen, vegye fel a kapcsolatot az OPSWAT még ma.
Hivatkozás
[1] https://twitter.com/nao_sec/status/1530196847679401984
