lỗ hổng bảo mật Microsoft Office Zero-Day bị lạm dụng để thực thi PowerShell
Vào ngày 27 tháng 5 năm 2022, một lỗi thực thi mã từ xa zero-day trong Microsoft Office đã được Nao_Sec (1) phát hiện và được nhà nghiên cứu Kevin Beaumont đặt tên là "Follina". lỗ hổng bảo mật này cho phép một người chưa được xác thực truy cập liên tục và kiểm soát hệ thống đích từ xa bằng cách khai thác các tệp Microsoft Office đã tải xuống. Tin tặc có thể sử dụng nó để thực hiện các lệnh PowerShell độc hại thông qua Công cụ Chẩn đoán Microsoft (MSDT) ngay cả khi macro Office bị tắt.
"Tài liệu sử dụng tính năng mẫu từ xa Word để truy xuất tệp HTML từ máy chủ web từ xa, từ đó sử dụng lược đồ URI ms-msdt MSProtocol để tải một số mã và thực thi một số PowerShell", nhà nghiên cứu Kevin Beaumont giải thích. "Điều đó không thể thực hiện được." (2)
Vào ngày 30 tháng 5 năm 2022, Microsoft đã phát hành CVE-2022-30190. Các phiên bản Microsoft Office 2013, 2016, 2019 và 2021, cũng như các phiên bản Professional Plus, bị ảnh hưởng. Tuy nhiên, không có bản vá nào có sẵn kể từ ngày 1 tháng 6 năm 2022.
Trong bài đăng trên blog này, chúng tôi phân tích mẫu mã độc và chỉ cho bạn cách tự bảo vệ mình khỏi các cuộc tấn công.
Tổng quan về cuộc tấn công lạm dụng CVE-2022-30190
Bằng cách phân tích mẫu, chúng tôi thấy rằng cách tiếp cận tấn công không phải là mới. Tác giả mối đe dọa đã sử dụng một vectơ tấn công tương tự như chiến dịch khai thác CVE-2021-40444 vào tháng 9/2021 . Cả hai cuộc tấn công đều sử dụng một liên kết bên ngoài trong một tệp mối quan hệ dẫn đến một tệp HTML độc hại.
Sử dụng lừa đảo hoặc kỹ thuật xã hội, tội phạm mạng đã gửi một tệp Microsoft Word (.docx) được vũ khí hóa cho các nạn nhân mục tiêu và lừa họ mở nó. Tệp chứa URL bên ngoài tham chiếu đến HTML, có mã JavaScript bất thường.
JavaScript đó tham chiếu đến một URL với lược đồ ms-msdt: có thể thực thi mã từ xa.
Làm thế nào để ngăn chặn cuộc tấn công
Vào ngày 30 tháng 5 năm 2022, Microsoft đã công bố hướng dẫn về các biện pháp khắc phục để hỗ trợ người dùng giảm thiểu lỗ hổng mới được phát hiện (3). Hiện tại, việc vô hiệu hóa giao thức URL MSDT dường như là lựa chọn dễ dàng nhất. Tuy nhiên, vẫn chưa rõ tác động của việc vô hiệu hóa giao thức URL MSDT là gì.
Tuy nhiên, nếu bạn đang sử dụng OPSWAT MetaDefender với công nghệ Deep CDR™ (Giải mã và Tái cấu trúc Nội dung) hàng đầu trong ngành của chúng tôi, bạn không cần phải lo lắng về tất cả những điều này. Mạng lưới và người dùng của bạn được an toàn khỏi các cuộc tấn công vì tất cả nội dung hoạt động được ẩn giấu trong các tệp độc hại đều bị vô hiệu hóa bởi công nghệ Deep CDR™ trước khi đến tay người dùng.
Dưới đây, chúng tôi sẽ trình bày cách Công nghệ Deep CDR™ xử lý tệp độc hại và tạo ra tệp an toàn cho người dùng, cho dù tệp đó được tải lên ứng dụng web của bạn hay nhận được dưới dạng tệp đính kèm email.
Trung hòa các tệp tin Microsoft Word độc hại
Một khi tệp .docx chứa URL độc hại xâm nhập vào mạng của tổ chức bạn thông qua email, tải tệp lên, v.v., MetaDefender Chương trình quét tệp bằng nhiều công cụ chống phần mềm độc hại sử dụng OPSWAT Metascan và kiểm tra tệp để tìm các mối đe dọa tiềm ẩn, chẳng hạn như đối tượng OLE, siêu liên kết, tập lệnh, v.v. Tiếp theo, tất cả các mối đe dọa được nhúng sẽ bị loại bỏ hoặc xử lý đệ quy. làm sạch tùy thuộc vào cấu hình của Công nghệ Deep CDR™. Như được hiển thị trong kết quả xử lý tập tin của chúng tôi, một đối tượng OLE đã bị xóa và nội dung XML đã được... làm sạch .
Sau quá trình này, tài liệu .docx không còn chứa liên kết HTML độc hại vì nó đã được thay thế bằng liên kết "trống". Do đó, ngay cả khi người dùng nội bộ của bạn mở tệp, không có mã độc nào được tải và thực thi.
Quét tệp đã được làm sạch sau quá trình xử lý bằng cả hai phương pháp. OPSWAT Metascan và MetaDefender Aether, chúng ta có thể thấy rằng tài liệu này không có rủi ro.
Hủy kích hoạt JavaScript của tệp HTML
Trong trường hợp bạn cấu hình công cụ Deep CDR™ Technology để chấp nhận URL trong tệp, bạn vẫn được bảo vệ hoàn toàn. Deep CDR™ Technology loại bỏ mã JavaScript độc hại trong tệp HTML được tải vì nó được coi là mối đe dọa tiềm tàng. Không có JavaScript, mã PowerShell không thể được tải xuống và thực thi. Người dùng của bạn có thể mở và sử dụng tệp được khôi phục không chứa mối đe dọa với đầy đủ chức năng.
Đừng dựa vào khả năng phát hiện
Phương pháp khai thác mới này khó phát hiện vì phần mềm độc hại được tải từ một mẫu từ xa, do đó tệp .docx có thể vượt qua hệ thống phòng thủ mạng vì nó không chứa mã độc hại (2). Tương tự, tội phạm mạng tiếp tục tích cực khai thác các lỗ hổng và lạm dụng nhiều vectơ tấn công khác nhau bằng cách tận dụng các chương trình và tính năng của Microsoft Office như macro, liên kết ngoài, đối tượng OLE, v.v. để phát tán hoặc kích hoạt phần mềm độc hại. Để triển khai mô hình bảo mật không tin tưởng thực sự, bạn không thể dựa vào mô hình bảo mật phát hiện để bảo vệ nhằm ngăn chặn các cuộc tấn công zero-day. Các tổ chức cần một giải pháp ngăn chặn mối đe dọa toàn diện để bảo vệ họ khỏi cả phần mềm độc hại đã biết và chưa biết.
Công nghệ Deep CDR™ là một giải pháp tiên tiến và hiệu quả để đánh bại các phần mềm độc hại khó phát hiện và các cuộc tấn công zero-day. Nó ngăn chặn các cuộc tấn công ngay từ giai đoạn đầu bằng cách vô hiệu hóa tất cả các thành phần thực thi đáng ngờ, đồng thời cung cấp các tập tin an toàn, không chứa mối đe dọa 100%.
Tìm hiểu thêm về Công nghệ Deep CDR™ . Để xem chúng tôi có thể giúp cung cấp sự bảo vệ toàn diện cho tổ chức của bạn chống lại các tài liệu bị lợi dụng như thế nào, hãy liên hệ với chuyên gia OPSWAT ngay bây giờ .
Tham khảo
[1] https://twitter.com/nao_sec/status/1530196847679401984
