یک آسیبپذیری «روز صفر» در ابزار ویندوز که هکرها از طریق اسناد ورد مسموم از آن بهرهبرداری میکنند، در آخر هفته کشف شد.
یک تیم تحقیقاتی مستقل امنیت سایبری معروف به nao_sec در یک سری توییتها اعلام کرد که آسیبپذیری را در یک سند Word مخرب بارگذاری شده در Virus Total، وبسایتی برای تجزیه و تحلیل نرمافزارهای مشکوک، از یک آدرس IP در بلاروس پیدا کردهاند.
maldoc جالب از بلاروس ارسال شد. از پیوند خارجی Word برای بارگیری HTML استفاده می کند و سپس از طرح “ms-msdt” برای اجرای کد PowerShell استفاده می کند. pic.twitter.com/rVSb02ZTwt
—não_sec (@nao_sec) 27 مه 2022
محقق دیگری، کوین بومونتکه این آسیبپذیری را Folina نامید، توضیح داد که این سند مخرب از ویژگی الگوی راه دور در Word برای بازیابی یک فایل HTML از یک وب سرور راه دور استفاده میکند. سپس فایل از طرح ms-msdt MSProtocol URI مایکروسافت برای بارگذاری کدهای بیشتر بر روی یک سیستم هدفمند و همچنین اجرای برخی از دستورات Powershell استفاده می کند.
بدتر از همه، سند مخرب لازم نیست برای اجرای بار آن باز شود. اگر سند در برگه پیش نمایش Windows Explorer نمایش داده شود، اجرا می شود.
مایکروسافت 41 نسخه مختلف محصول تحت تأثیر Folina را فهرست می کند، از ویندوز 7 تا ویندوز 11، و از سرور 2008 تا سرور 2022. بدون در نظر گرفتن نسخه ویندوز، Office، Office 2016، Office 2021 و Office 2022 شناخته شده و ثابت شده است. در حال اجرا.
مقایسه Log4Shell
کیسی الیس، مدیر ارشد فناوری و موسس این شرکت، با توجه به توانایی آن در دور زدن ویندوز دیفندر، به نظر می رسد که فولینا به طور بی اهمیت قابل بهره برداری و بسیار قدرتمند است. شلوغیبه TechNewsWorld گفت که یک پلتفرم جایزه باگ جمعسپاری شده را اجرا میکند.
راجر گریمز، مبشر دفاعی مبتنی بر داده در KnowBe4او به TechNewsWorld گفت: «بدترین نوع Zero Day آنی است که در برابر سرویس گوش دادن محافظت نشده کاربر راه اندازی می شود یا بلافاصله پس از دانلود یا کلیک روی آن اجرا می شود.
او ادامه داد: «این آن نیست. مایکروسافت در عرض چند روز یا کمتر یک وصله ایجاد میکند و اگر کاربران وصله خودکار پیشفرض در مایکروسافت آفیس را غیرفعال نکرده باشند – یا اگر از آفیس 365 استفاده میکنند – این وصله بهسرعت بهطور خودکار اعمال میشود. این سوءاستفاده چیزی است که باید نگران آن بود، اما قرار نیست دنیا را تحت کنترل خود درآورد.»
دیرک شریدر، معاون جهانی فناوری های جدید شبکه، اکنون بخشی از نتویکسارائهدهنده نرمافزار امنیت و انطباق فناوری اطلاعات، در ناپل، فلوریدا، فولینا را با آسیبپذیری Log4Shell که در دسامبر 2021 کشف شد، مقایسه کرد و امروز همچنان هزاران کسبوکار را آزار میدهد.
او توضیح داد که Log4Shell درباره یک روش کنترل نشده برای اجرای یک تابع در یک تابع همراه با توانایی فراخوانی منابع خارجی بود. او به TechNewsWorld گفت: «این Zero Day، که در ابتدا Folina نام داشت، به روشی مشابه کار می کند.
او گفت: «ابزارهای امنیتی داخلی ویندوز احتمالاً این فعالیت را نمی گیرند و معیارهای سختی استاندارد آن را پوشش نمی دهند. مکانیسم دفاعی داخلی مانند Defender یا محدودیتهای رایج برای استفاده از ماکروها، این حمله را نیز مسدود نمیکند.
وی افزود: “به نظر می رسد که این اکسپلویت حدود یک ماه است که با تغییرات مختلف در مورد آنچه که باید در سیستم هدف اجرا شود، در طبیعت منتشر شده است.”
راه حل مایکروسافت
مایکروسافت روز دوشنبه (CVE-2022-30190) به طور رسمی این آسیب پذیری را به رسمیت شناخت و همچنین راه حل ها برای رفع نقص
«یک آسیبپذیری اجرای کد از راه دور زمانی وجود دارد که [Microsoft Support Diagnostic Tool] با استفاده از پروتکل URL از یک برنامه فراخوانی مانند Word فراخوانی می شود.
وی ادامه داد: مهاجمی که با موفقیت از این آسیبپذیری سوء استفاده میکند، میتواند کد دلخواه را با امتیازات برنامه فراخوان اجرا کند. مهاجم میتواند برنامهها را نصب کند، دادهها را مشاهده کند، تغییر دهد یا حذف کند، یا حسابهای جدیدی را در زمینهای که توسط حقوق کاربر مجاز است ایجاد کند.»
به عنوان یک راه حل، مایکروسافت توصیه کرد که پروتکل URL را در ابزار MSDT غیرفعال کنید. این مانع از راه اندازی عیب یاب به عنوان پیوند می شود. با این حال، هنوز هم می توان با استفاده از برنامه Get Help و در تنظیمات سیستم به عیب یاب ها دسترسی داشت.
کریس کلمنتز، معاون معماری راهحلها، خاطرنشان کرد: راهحل نباید برای کاربران خیلی ناراحت کننده باشد. Cerberus Sentinel، یک شرکت مشاوره امنیت سایبری و تست نفوذ، در اسکاتسدیل، آریز.
او به TechNewsWorld گفت: «ابزار پشتیبانی همچنان به صورت عادی کار می کند. “تنها تفاوت این است که URL هایی که از پیوند خاص پروتکل استفاده می کنند مانند پیش فرض به طور خودکار در ابزار پشتیبانی باز نمی شوند.”
او ادامه داد: «به این فکر کنید که چگونه کلیک کردن روی پیوند http:// به طور خودکار مرورگر پیشفرض شما را باز میکند. پیوندهای msdt:/ به طور پیش فرض با ابزار پشتیبانی مرتبط هستند. کاهش این ارتباط باز شدن خودکار را حذف میکند.»
پشتیبانی طولانی تر Tix Times
ری استین، CSO با چشمه اصلییک ارائهدهنده خدمات مدیریتشده فناوری اطلاعات در فردریک، دکتر موافقت کرد که این راهحل تأثیر کمتری بر کاربران خواهد داشت. او به TechNewsWorld گفت: «MSDT یک ابزار عیبیابی یا پشتیبانی عمومی نیست. “این فقط برای به اشتراک گذاشتن گزارش ها با تکنسین های مایکروسافت در طول جلسات پشتیبانی استفاده می شود.”
او گفت: «تکنسینها میتوانند همین اطلاعات را از راههای دیگر، از جمله ابزار گزارش تشخیص سیستم، به دست آورند.
علاوه بر این، او خاطرنشان کرد: «غیرفعال کردن پروتکل URL فقط از راهاندازی MSDT از طریق پیوند جلوگیری میکند. کاربران و تکنسین های راه دور همچنان می توانند آن را به صورت دستی باز کنند.”
کارمیت یادین، مدیرعامل و موسس شرکت، میگوید ممکن است یک اشکال احتمالی برای سازمانهایی که پروتکل URL را خاموش میکنند وجود داشته باشد. DeviceTotalیک شرکت مدیریت ریسک در تل آویو، اسرائیل. او به TechNewsWorld گفت: «سازمانها شاهد افزایش زمان بلیط میز پشتیبانی خواهند بود، زیرا MSDT به طور سنتی به تشخیص مشکلات عملکرد کمک میکند، نه فقط حوادث امنیتی».
آسیب پذیری به سلاح تبدیل خواهد شد
هاریش آکلی، مدیر ارشد فناوری ColorTokensارائهدهنده راهحلهای امنیت سایبری بدون اعتماد مستقل، در سن خوزه، کالیفرنیا، اظهار داشت که فولینا بر اهمیت معماری اعتماد صفر و راهحلهای مبتنی بر آن اصل تأکید میکند.
او به TechNewsWorld گفت: «چنین رویکردی تنها به ارتباطات و فرآیندهای شبکه قانونی و تایید شده در رایانه اجازه می دهد. نرمافزار اعتماد صفر همچنین حرکت جانبی را مسدود میکند، تاکتیکی کلیدی که هکرها برای دسترسی به دادههای ارزشمند پس از دسترسی به دارایی فناوری اطلاعات در معرض خطر از آن استفاده میکنند.
شریدر خاطرنشان کرد که در هفتههای آینده، مهاجمان احتمالاً راههایی را برای تسلیح کردن این آسیبپذیری بررسی خواهند کرد. او گفت: «این Zero Day در یک کمپین spear-phishing را میتوان با بردارهای حمله اخیراً کشفشده و با تکنیکهای افزایش امتیاز ترکیب کرد تا از زمینه کاربر فعلی خارج شود».
او توصیه کرد: «با در نظر گرفتن امکان این تاکتیک ترکیبی، متخصصان فناوری اطلاعات باید مطمئن شوند که سیستمها برای شناسایی فعالیتهای نقض نظارت دقیق میشوند.»
او ادامه داد: «علاوه بر آن، شباهتها با Log4shell، که در دسامبر 2021 به تیتر اخبار تبدیل شد، قابل توجه است. این آسیبپذیری به همان اندازه در مورد استفاده از توانایی یک برنامه کاربردی برای فراخوانی از راه دور یک منبع با استفاده از طرح URI و نداشتن پادمانها است.
او افزود: «ما میتوانیم انتظار داشته باشیم که گروههای APT و کلاهبرداران سایبری به طور خاص به دنبال موارد بیشتری از این موارد باشند، زیرا به نظر میرسد راهی آسان برای ورود به آن ارائه میدهند.
منبع: https://www.technewsworld.com/story/new-software-vulnerability-zeroes-in-on-microsoft-programs-176806.html?rss=1