O gaură misterioasă de zero-day „Follina” în Office: iată ce să faci! – Naked Security

Internetul este plin de știri despre o eroare de execuție a codului de la distanță zero-day în Microsoft Office.

Mai precis, poate, este o gaură de securitate a execuției de cod care poate fi exploatată prin intermediul fișierelor Office, deși, din câte știm, pot exista și alte modalități de a activa sau abuza de această vulnerabilitate.

Cercetătorul de securitate Kevin Beaumont ți-a oferit numele complet arbitrar. Follinași din moment ce nu pare să aibă încă un număr CVE oficial [2022-05-30T21:00Z]acest nume pare să rămână și să fie un termen de căutare util.

(A updata. Microsoft a atribuit identificatorul CVE-2022-30190 la această eroare și a publicat un anunț public despre aceasta [2022-05-22T06:00Z].)

Numele „Follina” a fost inventat din faptul că există un eșantion de fișier Word DOC infectat pe Virus Total care poartă numele 05-2022-0438.doc. Secvența de numere 05-2022 pare destul de evident (mai 2022), dar ce zici 0438? Se dovedește că acesta este prefixul telefonic pentru zona Follina, nu departe de Veneția din nord-vestul Italiei, motiv pentru care Beaumont a aplicat isprăvii numele „Follina” ca pe o glumă arbitrară. Nu există niciun indiciu că malware-ul ar proveni din acea parte a lumii sau, într-adevăr, că există vreo legătură italiană cu acest exploit.

Cum functioneazã?

În termeni foarte generali, exploit-ul funcționează astfel:

  • Deschideți un fișier DOC cu o capcanăpoate primit pe email.
  • Documentul se referă la un aspect obișnuit https: URL-uri care este descărcat.
  • Est https: URL se referă la un fișier HTML care conține un cod JavaScript cu aspect ciudat.
  • JavaScript face referire la o adresă URL cu identificatorul neobișnuit ms-msdt: în loc de https:.
  • Pe Windows, ms-msdt: este un tip de adresă URL proprietară care pornește setul de instrumente software MSDT.
  • MSDT este abrevierea de Instrument de diagnosticare Microsoft Support.
  • Linia de comandă furnizată MSDT prin intermediul URL-ului determină executarea unui cod neîncrezat.

Când este invocat, rău intenționat ms-msdt: link activează utilitarul MSDT cu argumente de linie de comandă ca acesta: msdt /id pcwdiagnostic ....

Dacă rulați manual, fără alți parametri, acesta încarcă automat MSDT și invocă Instrument de depanare pentru compatibilitatea programelorcare pare destul de inocent, așa:

De aici, puteți alege o aplicație de depanare; poate răspunde la multe întrebări legate de asistență; puteți efectua diverse teste automate pe aplicație; iar dacă tot rămâneți blocat, puteți alege să raportați problema către Microsoft, încărcând mai multe date de depanare în același timp.

Deși probabil că nu s-ar aștepta să fie implicat în asta PCWDiagnostic utilitar doar prin deschiderea unui document, veți vedea cel puțin o serie de casete de dialog și veți putea alege ce să faceți la fiecare pas.

Execuția automată a scripturilor de la distanță

Din păcate, se pare că atacatorii care au descoperit hack-ul „Follina” (sau, mai exact, atacatorii care par să fi folosit acest truc în mai multe atacuri în ultima lună, chiar dacă nu l-au descoperit ei înșiși) au funcționat. o serie de opțiuni neobișnuite, dar perfide de pus pe linia de comandă MSDT.

Aceste opțiuni fac ca instrumentul de depanare MSDT să-și facă treaba sub control de la distanță.

În loc să fie întrebați cum doriți să procedați, infractorii au creat o secvență de parametri care nu numai că fac ca operațiunea să se întâmple automat (de exemplu, opțiunile /skip Y /force), dar și pentru a invoca un script PowerShell pe parcurs.

Mai rău încă, acest script PowerShell nu trebuie să fie deja într-un fișier de pe disc; poate fi furnizat sub formă de cod sursă criptat. chiar pe linia de comandă în sineîmpreună cu toate celelalte opțiuni utilizate.

În acest caz, PowerShell a fost folosit pentru a extrage și a lansa un executabil malware furnizat sub formă comprimată de criminali.

Cercetatorul de amenințări John Hammond de la Huntress a confirmat, lansând CALC.EXE pentru a „deschide un calculator”, că orice executabil aflat deja pe computer poate fi încărcat direct cu acest hack, astfel încât un atac ar putea folosi instrumente sau utilități existente, fără a se baza pe abordarea poate mai suspectă a lansării unui script PowerShell pe parcurs.

Nu sunt necesare macrocomenzi

Rețineți că acest atac este declanșat atunci când Word face referire la necinstiți ms-msdt: URL la care se face referire printr-o adresă URL care este conținută în fișierul DOC însuși.

nu Visual Basic pentru aplicații (VBA) Macrocomenzile Office sunt implicate, așa că acest truc funcționează chiar dacă aveți macrocomenzile Office dezactivate complet.

Pe scurt, aceasta arată ca ceea ce s-ar putea numi o „funcție URL utilă” Office, combinată cu o „funcție utilă” de diagnosticare MSDT, pentru a produce o gaură de securitate abuzabilă care poate provoca o exploatare de execuție a codului de la distanță prin clic și obține acces.

Cu alte cuvinte, simpla deschidere a unui document prin capcană ar putea trimite malware pe computer fără ca tu să-ți dai seama.

De fapt, John Hammond scrie că acest hack poate fi transformat într-un atac și mai direct, prin ambalarea conținutului fals într-un fișier RTF în loc de un fișier DOC. În acest caz, spune el, doar previzualizarea documentului în Windows Explorer este suficientă pentru a declanșa exploit-ul, fără să faceți măcar clic pentru a-l deschide. Doar redarea panoului de previzualizare a miniatură este suficientă pentru a declanșa Windows și Office.

A face?

La fel de convenabil ca și proprietarul Microsoft ms-xxxx URL-urile pot fi, faptul că sunt concepute pentru a lansa automat procese atunci când anumite tipuri de fișiere sunt deschise, sau chiar doar previzualizate, este în mod clar un risc de securitate.

O soluție asupra căreia a fost convenită rapid în comunitate și de atunci a fost aprobată oficial de Microsoft, este să rupă pur și simplu relația dintre ms-msdt: URL și utilitarul MSDT.

Aceasta înseamnă că ms-msdt: Adresele URL nu mai au nicio semnificație specială și nu pot fi folosite pentru a forța MSDT.EXE alerga.

Puteți face această modificare pur și simplu ștergând intrarea din registry HKEY_CLASSES_ROOTms-msdt, dacă ar exista. (Dacă nu există, atunci ești deja protejat de această soluție.)

Dacă creați un fișier cu un nume care se termină .REG care contine acest text…


Windows Registry Editor Version 5.00

[-HKEY_CLASSES_ROOTms-msdt]

…puteți face dublu clic pe .REG fișier pentru a elimina (semnul minus înseamnă „elimină”) intrarea ofensă.

De asemenea, puteți naviga la HKEY_CLASSES_ROOTms-msdt în REGEDIT utilitate și lovit [Delete].

Sau puteți rula comanda: REG DELETE HKCRms-msdt.

Rețineți că aveți nevoie de privilegii de administrator pentru a modifica registry în acest fel.

Dacă descoperi că nu poți trăi fără ms-msdt URL, puteți înlocui oricând datele de înregistrare lipsă ulterior.

Pentru a sprijini HKEY_CLASSES_ROOTms-msdt cheie de registry, utilizați comanda: REG EXPORT HKEY_CLASSES_ROOTms-msdt backup-msdt.reg.

Pentru a restabili mai târziu cheia de registry ștearsă, utilizați: REG IMPORT backup-msdt.reg.

Doar pentru înregistrare, nu am văzut niciodată un ms-msdt Adresa URL veche, darămite depindea de una, așa că nu am ezitat să ștergem această setare de registry de pe propriul computer Windows.

Starea „înainte” a intrării de registry HKCRms-msdt,
în cazul în care trebuie să-l reconstruiți după ce l-ați îndepărtat.

CUM PRODUSELE SOPHOS DETECTEAZĂ ȘI RAPPORTĂ ACESTE ATACURI

  • Produsele terminale Sophos pot detecta și bloca atacurile cunoscute furnizate prin acest exploit, cum ar fi Troj/DocDl-AGDX. Puteți folosi acest nume de detectare pentru a căuta în jurnalele dvs. fișiere DOC sau RTF care declanșează descărcarea inițială și fișierele HTML din „etapa a doua” care urmează. Puteți căuta și după nume Bad/DocDL-Ccare detectează alte documente de atac care utilizează o tehnică similară.
  • Produsele Sophos endpoint pot detecta și bloca încercările de a declanșa acest exploit, cum ar fi Exec_39a (T1023). Aceste rapoarte vor apărea în înregistrările dumneavoastră împotriva programului MSDT.EXE în folderul System.
  • Produsele Sophos de filtrare a e-mailului și web interceptează fișiere de la atacuri de acest tip, cum ar fi CXmail/OleDl-AG.

.

Add Comment