آسیب پذیری نرم افزار جدید در برنامه های مایکروسافت به صفر می رسد

یک آسیب‌پذیری «روز صفر» در ابزار ویندوز که هکرها از طریق اسناد ورد مسموم از آن بهره‌برداری می‌کنند، در آخر هفته کشف شد.

یک تیم تحقیقاتی مستقل امنیت سایبری معروف به nao_sec در یک سری توییت‌ها اعلام کرد که آسیب‌پذیری را در یک سند Word مخرب بارگذاری شده در Virus Total، وب‌سایتی برای تجزیه و تحلیل نرم‌افزارهای مشکوک، از یک آدرس IP در بلاروس پیدا کرده‌اند.

maldoc جالب از بلاروس ارسال شد. از پیوند خارجی Word برای بارگیری HTML استفاده می کند و سپس از طرح “ms-msdt” برای اجرای کد PowerShell استفاده می کند. pic.twitter.com/rVSb02ZTwt

—não_sec (@nao_sec) 27 مه 2022

محقق دیگری، کوین بومونتکه این آسیب‌پذیری را Folina نامید، توضیح داد که این سند مخرب از ویژگی الگوی راه دور در Word برای بازیابی یک فایل HTML از یک وب سرور راه دور استفاده می‌کند. سپس فایل از طرح ms-msdt MSProtocol URI مایکروسافت برای بارگذاری کدهای بیشتر بر روی یک سیستم هدفمند و همچنین اجرای برخی از دستورات Powershell استفاده می کند.

بدتر از همه، سند مخرب لازم نیست برای اجرای بار آن باز شود. اگر سند در برگه پیش نمایش Windows Explorer نمایش داده شود، اجرا می شود.

مایکروسافت 41 نسخه مختلف محصول تحت تأثیر Folina را فهرست می کند، از ویندوز 7 تا ویندوز 11، و از سرور 2008 تا سرور 2022. بدون در نظر گرفتن نسخه ویندوز، Office، Office 2016، Office 2021 و Office 2022 شناخته شده و ثابت شده است. در حال اجرا.

مقایسه Log4Shell

کیسی الیس، مدیر ارشد فناوری و موسس این شرکت، با توجه به توانایی آن در دور زدن ویندوز دیفندر، به نظر می رسد که فولینا به طور بی اهمیت قابل بهره برداری و بسیار قدرتمند است. شلوغیبه TechNewsWorld گفت که یک پلتفرم جایزه باگ جمع‌سپاری شده را اجرا می‌کند.

راجر گریمز، مبشر دفاعی مبتنی بر داده در KnowBe4او به TechNewsWorld گفت: «بدترین نوع Zero Day آنی است که در برابر سرویس گوش دادن محافظت نشده کاربر راه اندازی می شود یا بلافاصله پس از دانلود یا کلیک روی آن اجرا می شود.

او ادامه داد: «این آن نیست. مایکروسافت در عرض چند روز یا کمتر یک وصله ایجاد می‌کند و اگر کاربران وصله خودکار پیش‌فرض در مایکروسافت آفیس را غیرفعال نکرده باشند – یا اگر از آفیس 365 استفاده می‌کنند – این وصله به‌سرعت به‌طور خودکار اعمال می‌شود. این سوءاستفاده چیزی است که باید نگران آن بود، اما قرار نیست دنیا را تحت کنترل خود درآورد.»

تبلیغات

دیرک شریدر، معاون جهانی فناوری های جدید شبکه، اکنون بخشی از نت‌ویکسارائه‌دهنده نرم‌افزار امنیت و انطباق فناوری اطلاعات، در ناپل، فلوریدا، فولینا را با آسیب‌پذیری Log4Shell که در دسامبر 2021 کشف شد، مقایسه کرد و امروز همچنان هزاران کسب‌وکار را آزار می‌دهد.

او توضیح داد که Log4Shell درباره یک روش کنترل نشده برای اجرای یک تابع در یک تابع همراه با توانایی فراخوانی منابع خارجی بود. او به TechNewsWorld گفت: «این Zero Day، که در ابتدا Folina نام داشت، به روشی مشابه کار می کند.

او گفت: «ابزارهای امنیتی داخلی ویندوز احتمالاً این فعالیت را نمی گیرند و معیارهای سختی استاندارد آن را پوشش نمی دهند. مکانیسم دفاعی داخلی مانند Defender یا محدودیت‌های رایج برای استفاده از ماکروها، این حمله را نیز مسدود نمی‌کند.

وی افزود: “به نظر می رسد که این اکسپلویت حدود یک ماه است که با تغییرات مختلف در مورد آنچه که باید در سیستم هدف اجرا شود، در طبیعت منتشر شده است.”

راه حل مایکروسافت

مایکروسافت روز دوشنبه (CVE-2022-30190) به طور رسمی این آسیب پذیری را به رسمیت شناخت و همچنین راه حل ها برای رفع نقص

«یک آسیب‌پذیری اجرای کد از راه دور زمانی وجود دارد که [Microsoft Support Diagnostic Tool] با استفاده از پروتکل URL از یک برنامه فراخوانی مانند Word فراخوانی می شود.

وی ادامه داد: مهاجمی که با موفقیت از این آسیب‌پذیری سوء استفاده می‌کند، می‌تواند کد دلخواه را با امتیازات برنامه فراخوان اجرا کند. مهاجم می‌تواند برنامه‌ها را نصب کند، داده‌ها را مشاهده کند، تغییر دهد یا حذف کند، یا حساب‌های جدیدی را در زمینه‌ای که توسط حقوق کاربر مجاز است ایجاد کند.»

به عنوان یک راه حل، مایکروسافت توصیه کرد که پروتکل URL را در ابزار MSDT غیرفعال کنید. این مانع از راه اندازی عیب یاب به عنوان پیوند می شود. با این حال، هنوز هم می توان با استفاده از برنامه Get Help و در تنظیمات سیستم به عیب یاب ها دسترسی داشت.

کریس کلمنتز، معاون معماری راه‌حل‌ها، خاطرنشان کرد: راه‌حل نباید برای کاربران خیلی ناراحت کننده باشد. Cerberus Sentinel، یک شرکت مشاوره امنیت سایبری و تست نفوذ، در اسکاتسدیل، آریز.

او به TechNewsWorld گفت: «ابزار پشتیبانی همچنان به صورت عادی کار می کند. “تنها تفاوت این است که URL هایی که از پیوند خاص پروتکل استفاده می کنند مانند پیش فرض به طور خودکار در ابزار پشتیبانی باز نمی شوند.”

تبلیغات

او ادامه داد: «به این فکر کنید که چگونه کلیک کردن روی پیوند http:// به طور خودکار مرورگر پیش‌فرض شما را باز می‌کند. پیوندهای msdt:/ به طور پیش فرض با ابزار پشتیبانی مرتبط هستند. کاهش این ارتباط باز شدن خودکار را حذف می‌کند.»

پشتیبانی طولانی تر Tix Times

ری استین، CSO با چشمه اصلییک ارائه‌دهنده خدمات مدیریت‌شده فناوری اطلاعات در فردریک، دکتر موافقت کرد که این راه‌حل تأثیر کمتری بر کاربران خواهد داشت. او به TechNewsWorld گفت: «MSDT یک ابزار عیب‌یابی یا پشتیبانی عمومی نیست. “این فقط برای به اشتراک گذاشتن گزارش ها با تکنسین های مایکروسافت در طول جلسات پشتیبانی استفاده می شود.”

او گفت: «تکنسین‌ها می‌توانند همین اطلاعات را از راه‌های دیگر، از جمله ابزار گزارش تشخیص سیستم، به دست آورند.

علاوه بر این، او خاطرنشان کرد: «غیرفعال کردن پروتکل URL فقط از راه‌اندازی MSDT از طریق پیوند جلوگیری می‌کند. کاربران و تکنسین های راه دور همچنان می توانند آن را به صورت دستی باز کنند.”

کارمیت یادین، مدیرعامل و موسس شرکت، می‌گوید ممکن است یک اشکال احتمالی برای سازمان‌هایی که پروتکل URL را خاموش می‌کنند وجود داشته باشد. DeviceTotalیک شرکت مدیریت ریسک در تل آویو، اسرائیل. او به TechNewsWorld گفت: «سازمان‌ها شاهد افزایش زمان بلیط میز پشتیبانی خواهند بود، زیرا MSDT به طور سنتی به تشخیص مشکلات عملکرد کمک می‌کند، نه فقط حوادث امنیتی».

آسیب پذیری به سلاح تبدیل خواهد شد

هاریش آکلی، مدیر ارشد فناوری ColorTokensارائه‌دهنده راه‌حل‌های امنیت سایبری بدون اعتماد مستقل، در سن خوزه، کالیفرنیا، اظهار داشت که فولینا بر اهمیت معماری اعتماد صفر و راه‌حل‌های مبتنی بر آن اصل تأکید می‌کند.

او به TechNewsWorld گفت: «چنین رویکردی تنها به ارتباطات و فرآیندهای شبکه قانونی و تایید شده در رایانه اجازه می دهد. نرم‌افزار اعتماد صفر همچنین حرکت جانبی را مسدود می‌کند، تاکتیکی کلیدی که هکرها برای دسترسی به داده‌های ارزشمند پس از دسترسی به دارایی فناوری اطلاعات در معرض خطر از آن استفاده می‌کنند.

شریدر خاطرنشان کرد که در هفته‌های آینده، مهاجمان احتمالاً راه‌هایی را برای تسلیح کردن این آسیب‌پذیری بررسی خواهند کرد. او گفت: «این Zero Day در یک کمپین spear-phishing را می‌توان با بردارهای حمله اخیراً کشف‌شده و با تکنیک‌های افزایش امتیاز ترکیب کرد تا از زمینه کاربر فعلی خارج شود».

او توصیه کرد: «با در نظر گرفتن امکان این تاکتیک ترکیبی، متخصصان فناوری اطلاعات باید مطمئن شوند که سیستم‌ها برای شناسایی فعالیت‌های نقض نظارت دقیق می‌شوند.»

او ادامه داد: «علاوه بر آن، شباهت‌ها با Log4shell، که در دسامبر 2021 به تیتر اخبار تبدیل شد، قابل توجه است. این آسیب‌پذیری به همان اندازه در مورد استفاده از توانایی یک برنامه کاربردی برای فراخوانی از راه دور یک منبع با استفاده از طرح URI و نداشتن پادمان‌ها است.

او افزود: «ما می‌توانیم انتظار داشته باشیم که گروه‌های APT و کلاهبرداران سایبری به طور خاص به دنبال موارد بیشتری از این موارد باشند، زیرا به نظر می‌رسد راهی آسان برای ورود به آن ارائه می‌دهند.