lỗ hổng bảo mật Microsoft Office Zero-Day bị lạm dụng để thực thi PowerShell
Vào ngày 27 tháng 5 năm 2022, một lỗi thực thi mã từ xa zero-day trong Microsoft Office đã được Nao_Sec (1) phát hiện và được nhà nghiên cứu Kevin Beaumont đặt tên là "Follina". lỗ hổng bảo mật này cho phép một người chưa được xác thực truy cập liên tục và kiểm soát hệ thống đích từ xa bằng cách khai thác các tệp Microsoft Office đã tải xuống. Tin tặc có thể sử dụng nó để thực hiện các lệnh PowerShell độc hại thông qua Công cụ Chẩn đoán Microsoft (MSDT) ngay cả khi macro Office bị tắt.
"Tài liệu sử dụng tính năng mẫu từ xa Word để truy xuất tệp HTML từ máy chủ web từ xa, từ đó sử dụng lược đồ URI ms-msdt MSProtocol để tải một số mã và thực thi một số PowerShell", nhà nghiên cứu Kevin Beaumont giải thích. "Điều đó không thể thực hiện được." (2)
Vào ngày 30 tháng 5 năm 2022, Microsoft đã phát hành CVE-2022-30190. Các phiên bản Microsoft Office 2013, 2016, 2019 và 2021, cũng như các phiên bản Professional Plus, bị ảnh hưởng. Tuy nhiên, không có bản vá nào có sẵn kể từ ngày 1 tháng 6 năm 2022.
Trong bài đăng trên blog này, chúng tôi phân tích mẫu mã độc và chỉ cho bạn cách tự bảo vệ mình khỏi các cuộc tấn công.
Tổng quan về cuộc tấn công lạm dụng CVE-2022-30190
Bằng cách phân tích mẫu, chúng tôi thấy rằng cách tiếp cận tấn công không phải là mới. Tác giả mối đe dọa đã sử dụng một vectơ tấn công tương tự như chiến dịch khai thác CVE-2021-40444 vào tháng 9/2021 . Cả hai cuộc tấn công đều sử dụng một liên kết bên ngoài trong một tệp mối quan hệ dẫn đến một tệp HTML độc hại.
Sử dụng lừa đảo hoặc kỹ thuật xã hội, tội phạm mạng đã gửi một tệp Microsoft Word (.docx) được vũ khí hóa cho các nạn nhân mục tiêu và lừa họ mở nó. Tệp chứa URL bên ngoài tham chiếu đến HTML, có mã JavaScript bất thường.
JavaScript đó tham chiếu đến một URL với lược đồ ms-msdt: có thể thực thi mã từ xa.
Làm thế nào để ngăn chặn cuộc tấn công
On 30 May 2022, Microsoft published guidance on workarounds to support users mitigating the newly exposed vulnerability (3). Currently, disabling the MSDT URL protocol appears to be the easiest option. Nevertheless, it is not yet clear what the impact of disabling MSDT URL protocol could be.
However, if you are using OPSWAT MetaDefender with our industry-leading Deep CDR™ Technology (Content Disarm and Reconstruction) technology, you don't have to worry about all of these things. Your network and users are safe from the attacks since all the active content concealed in the harmful files is disabled by Deep CDR™ Technology before reaching your users.
Hereunder, we demonstrate how Deep CDR™ Technology handles the malicious file and generates a safe-to-consume file for your users whether it was uploaded to your web application or received as an email attachment.
Trung hòa các tệp tin Microsoft Word độc hại
Once the .docx file with a malicious URL enters your organization's network via emails, file uploads, etc., MetaDefender scans it with multiple anti-malware engines using OPSWAT Metascan and examines the file for potential threats, such as OLE objects, hyperlinks, scripts, etc. Next, all the embedded threats are removed or recursively sanitized depending on Deep CDR™ Technology configurations. As shown in our file processing result, an OLE object was removed and the XML content was sanitized.
Sau quá trình này, tài liệu .docx không còn chứa liên kết HTML độc hại vì nó đã được thay thế bằng liên kết "trống". Do đó, ngay cả khi người dùng nội bộ của bạn mở tệp, không có mã độc nào được tải và thực thi.
Scanning the cleaned file released after the process with both OPSWAT Metascan and MetaDefender Aether, we can see that the document is risk-free.
Hủy kích hoạt JavaScript của tệp HTML
In case you configure Deep CDR™ Technology engine to accept URLs in files, you are still completely protected. Deep CDR™ Technology removes the malicious JavaScript in the loaded HTML file because it's considered as a potential threat. Without the JavaScript, the PowerShell code cannot be downloaded and executed. Your users can open and use the threat-free reconstructed file with full usability.
Đừng dựa vào khả năng phát hiện
This new exploitation method is hard to detect because the malware is loaded from a remote template, so the .docx file can bypass the network defense as it does not contain malicious code (2). Likewise, cybercriminals continue to actively exploit vulnerabilities and abuse various attack vectors leveraging Microsoft Office programs and features like macros, external links, OLE objects, and so on to deliver or trigger malware. For a true zero trust implementation, you cannot rely on a detect-to-protect security model to prevent zero-day attacks. Organizations need a comprehensive threat prevention solution to protect them from both known and unknown malware.
Deep CDR™ Technology is an innovative and effective solution to defeat advanced evasive malware and zero-day attacks. It stops the attacks at the earliest stage by disarming all suspect executable components, and at the same time, providing 100% threat-free safe to consume files.
Learn more about Deep CDR™ Technology. To see how we can help provide comprehensive protection to your organization against weaponized documents, talk to an OPSWAT specialist now.
Tham khảo
[1] https://twitter.com/nao_sec/status/1530196847679401984
