Lỗ hổng Microsoft Office Zero-Day bị lạm dụng để thực thi PowerShell
Vào ngày 27 tháng 5 năm 2022, một lỗi thực thi mã từ xa zero-day trong Microsoft Office đã được Nao_Sec (1) phát hiện và được nhà nghiên cứu Kevin Beaumont đặt tên là "Follina". Lỗ hổng này cho phép một người chưa được xác thực truy cập liên tục và kiểm soát hệ thống đích từ xa bằng cách khai thác các tệp Microsoft Office đã tải xuống. Tin tặc có thể sử dụng nó để thực hiện các lệnh PowerShell độc hại thông qua Công cụ Chẩn đoán Microsoft (MSDT) ngay cả khi macro Office bị tắt.
"Tài liệu sử dụng tính năng mẫu từ xa Word để truy xuất tệp HTML từ máy chủ web từ xa, từ đó sử dụng lược đồ URI ms-msdt MSProtocol để tải một số mã và thực thi một số PowerShell", nhà nghiên cứu Kevin Beaumont giải thích. "Điều đó không thể thực hiện được." (2)
Vào ngày 30 tháng 5 năm 2022, Microsoft đã phát hành CVE-2022-30190. Các phiên bản Microsoft Office 2013, 2016, 2019 và 2021, cũng như các phiên bản Professional Plus, bị ảnh hưởng. Tuy nhiên, không có bản vá nào có sẵn kể từ ngày 1 tháng 6 năm 2022.
Trong bài đăng trên blog này, chúng tôi phân tích mẫu phần mềm độc hại và chỉ cho bạn cách tự bảo vệ mình khỏi các cuộc tấn công.
Tổng quan về cuộc tấn công lạm dụng CVE-2022-30190
Bằng cách phân tích mẫu, chúng tôi thấy rằng cách tiếp cận tấn công không phải là mới. Tác giả mối đe dọa đã sử dụng một vectơ tấn công tương tự như chiến dịch khai thác CVE-2021-40444 vào tháng 9/2021 . Cả hai cuộc tấn công đều sử dụng một liên kết bên ngoài trong một tệp mối quan hệ dẫn đến một tệp HTML độc hại.
Sử dụng lừa đảo hoặc kỹ thuật xã hội, tội phạm mạng đã gửi một tệp Microsoft Word (.docx) được vũ khí hóa cho các nạn nhân mục tiêu và lừa họ mở nó. Tệp chứa URL bên ngoài tham chiếu đến HTML, có mã JavaScript bất thường.
JavaScript đó tham chiếu đến một URL với lược đồ ms-msdt: có thể thực thi mã từ xa.
Làm thế nào để ngăn chặn cuộc tấn công
Vào ngày 30 tháng 5 năm 2022, Microsoft đã công bố hướng dẫn về các giải pháp thay thế để hỗ trợ người dùng giảm thiểu lỗ hổng mới được phát hiện (3). Hiện tại, việc vô hiệu hóa giao thức URL MSDT có vẻ là lựa chọn dễ nhất. Tuy nhiên, vẫn chưa rõ tác động của việc vô hiệu hóa giao thức URL MSDT có thể là gì.
Tuy nhiên, nếu bạn đang sử dụng OPSWAT MetaDefender với công nghệ Deep CDR (Giải trừ và Tái thiết Nội dung) hàng đầu trong ngành của chúng tôi, bạn không cần phải lo lắng về tất cả những điều này. Mạng và người dùng của bạn sẽ an toàn trước các cuộc tấn công vì tất cả nội dung đang hoạt động ẩn trong các tệp có hại đều bị vô hiệu hóa bởi Deep CDR trước khi tiếp cận người dùng của bạn.
Dưới đây, chúng tôi trình bày cách Deep CDR xử lý tệp độc hại và tạo tệp an toàn để người dùng sử dụng cho dù tệp đó được tải lên ứng dụng web của bạn hay được nhận dưới dạng tệp đính kèm trong email.
Trung hòa các tập tin Microsoft Word độc hại
Khi tệp .docx có URL độc hại xâm nhập vào mạng của tổ chức bạn thông qua email, tệp tải lên, v.v., MetaDefender quét nó bằng nhiều trình quét phòng chống mã độc sử dụng OPSWAT Metascan và kiểm tra tệp để tìm các mối đe dọa tiềm ẩn, chẳng hạn như đối tượng OLE, siêu liên kết, tập lệnh, v.v. Tiếp theo, tất cả các mối đe dọa nhúng được xóa hoặc Làm sạch đệ quy tùy thuộc vào Deep CDR cấu hình. Như thể hiện trong kết quả xử lý tệp của chúng tôi, một đối tượng OLE đã bị xóa và nội dung XML đã được Làm sạch.
Sau quá trình này, tài liệu .docx không còn chứa liên kết HTML độc hại vì nó đã được thay thế bằng liên kết "trống". Do đó, ngay cả khi người dùng nội bộ của bạn mở tệp, không có phần mềm độc hại nào được tải và thực thi.
Quét tệp đã được làm sạch được phát hành sau quá trình với cả hai OPSWAT Metascan và MetaDefender Sandbox, chúng ta có thể thấy rằng tài liệu không có rủi ro.
Hủy kích hoạt JavaScript của tệp HTML
Trong trường hợp bạn cấu hình Deep CDR công cụ chấp nhận URL trong tệp, bạn vẫn được bảo vệ hoàn toàn. Deep CDR xóa JavaScript độc hại trong tệp HTML đã tải vì nó được coi là mối đe dọa tiềm ẩn. Nếu không có JavaScript, mã PowerShell không thể tải xuống và thực thi. Người dùng của bạn có thể mở và sử dụng tệp được xây dựng lại không có mối đe dọa với khả năng sử dụng đầy đủ.
Đừng dựa vào khả năng phát hiện
Phương pháp khai thác mới này khó phát hiện vì phần mềm độc hại được tải từ một mẫu từ xa, do đó tệp .docx có thể vượt qua hàng phòng thủ mạng vì nó không chứa mã độc hại (2). Tương tự như vậy, tội phạm mạng tiếp tục tích cực khai thác các lỗ hổng và lạm dụng nhiều vectơ tấn công khác nhau bằng cách tận dụng các chương trình và tính năng của Microsoft Office như macro, liên kết ngoài, đối tượng OLE, v.v. để phân phối hoặc kích hoạt phần mềm độc hại. Đối với việc triển khai zero trust thực sự, bạn không thể dựa vào mô hình bảo mật phát hiện để bảo vệ để ngăn chặn các cuộc tấn công zero-day. Các tổ chức cần một giải pháp phòng ngừa mối đe dọa toàn diện để bảo vệ họ khỏi cả phần mềm độc hại đã biết và chưa biết.
Deep CDR là giải pháp sáng tạo và hiệu quả để đánh bại phần mềm độc hại tiên tiến và các cuộc tấn công zero-day. Nó ngăn chặn các cuộc tấn công ở giai đoạn sớm nhất bằng cách vô hiệu hóa tất cả các thành phần thực thi đáng ngờ và đồng thời cung cấp các tệp an toàn không có mối đe dọa 100%.
Tìm hiểu thêm về công nghệ Deep CDR . Để xem cách chúng tôi có thể giúp cung cấp khả năng bảo vệ toàn diện cho tổ chức của bạn chống lại các tài liệu bị vũ khí hóa, hãy trao đổi ngay với chuyên gia OPSWAT .
Tham khảo
[1] https://twitter.com/nao_sec/status/1530196847679401984
