העדכון שאתם לא יכולים להרשות לעצמכם לדלג עליו: סוף התמיכה ב-Office 2016 ו-Office 2019

קרא עכשיו
אנו משתמשים בבינה מלאכותית לתרגום האתר, ועל אף שאנו שואפים לדיוק מרבי, ייתכן שהתרגומים אינם מדויקים במאת האחוזים. אנו מודים לך על ההבנה.
דף הבית / בלוג / האם יש משהו שאתה יכול לעשות בנוגע לפולינה?
Endpoint הַנהָלָה

האם יש משהו שאתה יכול לעשות בקשר לפולינה?

עַל יְדֵי וין לאם, מנהל תוכנית טכנית בכיר
שתף את הפוסט הזה

פגיעות של Microsoft Office Zero-Day נוצלה לרעה להפעלת PowerShell

ב-27 במאי 2022, באג של ביצוע קוד מרחוק של יום אפס ב-Microsoft Office התגלה על ידי Nao_Sec (1) וכונה "Follina" על ידי החוקר קווין ביומונט. פגיעות זו מאפשרת לאדם לא מאומת לקבל גישה מתמשכת ולהשתלט על מערכת יעד מרחוק על ידי ניצול קבצי Microsoft Office שהורדו. האקרים יכולים להשתמש בה כדי לבצע פקודות PowerShell זדוניות באמצעות כלי האבחון של Microsoft (MSDT) גם אם פקודות מאקרו של Office מושבתות.

"המסמך משתמש בתכונת התבנית המרוחקת של Word כדי לאחזר קובץ HTML משרת אינטרנט מרוחק, אשר בתורו משתמש בסכימת ה-URI של MSProtocol ms-msdt כדי לטעון קוד מסוים ולהפעיל PowerShell מסוים", הסביר החוקר קווין ביומונט. "זה לא אמור להיות אפשרי." (2)

ב-30 במאי 2022, מיקרוסופט פרסמה את CVE-2022-30190 . גרסאות 2013, 2016, 2019 ו-2021 של מיקרוסופט אופיס, כמו גם מהדורות Professional Plus, מושפעות. עם זאת, אין תיקון זמין נכון ל-1 ביוני 2022.

בפוסט בבלוג זה, ננתח את דוגמת התוכנה הזדונית ונראה לכם כיצד להתגונן מפני ההתקפות.

סקירה כללית של המתקפה תוך שימוש לרעה ב-CVE-2022-30190

על ידי ניתוח המדגם, מצאנו שגישת ההתקפה אינה חדשה. מחבר האיום השתמש בווקטור התקפה דומה לזה של הקמפיין שניצל את CVE-2021-40444 בספטמבר 2021. שתי ההתקפות השתמשו בקישור חיצוני בקובץ קישור שהוביל לקובץ HTML זדוני.

באמצעות פישינג או הנדסה חברתית, פושעי הסייבר סיפקו קובץ Microsoft Word (.docx) מכוסה בנשק לקורבנות היעד ורימו אותם לפתוח אותו. הקובץ מכיל כתובת URL חיצונית המפנה ל-HTML, הכוללת קוד JavaScript יוצא דופן.

צילום מסך של קוד XML של קובץ Microsoft Word שעבר שימוש בנשק

קוד ה-JavaScript הזה מפנה לכתובת URL עם הסכימה ms-msdt: שיכולה לבצע קוד מרוחק. 

תמונה של קוד JavaScript המפנה לקוד ביצוע מרחוק
זוהי תמונה משוחזרת מ-POC שמקורו ב- https://twitter.com/0xBacco/status/1531599168363548672 כדי להראות דוגמה של קוד ה-JavaScript.

כיצד למנוע את ההתקפה

ב-30 במאי 2022, פרסמה מיקרוסופט הנחיות בנוגע לפתרונות עוקפים לתמיכה במשתמשים המתמודדים עם הפגיעות שנחשפה לאחרונה (3). נכון לעכשיו, השבתת פרוטוקול ה-URL של MSDT נראית כאפשרות הקלה ביותר. עם זאת, עדיין לא ברור מה תהיה ההשפעה של השבתת פרוטוקול ה-URL של MSDT.

עם זאת, אם אתם משתמשים ב- OPSWAT MetaDefender עם טכנולוגיית Deep CDR (Content Disarm and Reconstruction) המובילה בתעשייה שלנו, אינכם צריכים לדאוג לכל הדברים הללו. הרשת והמשתמשים שלכם מוגנים מפני התקפות מכיוון שכל התוכן הפעיל המוסתר בקבצים המזיקים מושבת על ידי... Deep CDR לפני שהגיעו למשתמשים שלכם.

להלן, נדגים כיצד Deep CDR מטפל בקובץ הזדוני ויוצר קובץ בטוח לצריכה עבור המשתמשים שלך, בין אם הוא הועלה ליישום האינטרנט שלך או התקבל כקובץ מצורף לדוא"ל.

נטרול קובץ Microsoft Word הרעיל

ברגע שקובץ ה-.docx עם כתובת URL זדונית נכנס לרשת הארגון שלך באמצעות מיילים, העלאות קבצים וכו', MetaDefender סורק אותו באמצעות מספר מנועי אנטי-וירוס באמצעות OPSWAT Metascan ובוחן את הקובץ לאיתור איומים פוטנציאליים, כגון אובייקטי OLE, היפר-קישורים, סקריפטים וכו'. לאחר מכן, כל האיומים המוטמעים מוסרים או עוברים ניקוי רקורסיבי בהתאם ל Deep CDR תצורות. כפי שמוצג בתוצאת עיבוד הקבצים שלנו, אובייקט OLE הוסר ותוכן ה-XML עבר ניקוי.

צילום מסך של OPSWAT MetaDefender Cloud לוח המחוונים המציג את ההצגה של איומים שלא זוהו

לאחר התהליך, מסמך ה-.docx כבר לא מכיל את קישור ה-HTML הזדוני, שכן הוא הוחלף בקישור "ריק". כתוצאה מכך, גם אם המשתמשים הפנימיים שלך פותחים את הקובץ, לא נטענת ולא מופעלת תוכנה זדונית.

צילום מסך של XML שעבר ניקוי ממסמך Microsoft

סריקת הקובץ שניקה שוחרר לאחר התהליך עם שניהם OPSWAT מטאסקאן ו MetaDefender Sandbox , אנו יכולים לראות שהמסמך נטול סיכונים.

צילום מסך של metadefender ארגז חול לא מראה איומים בקובץ שעבר ניקוי

בטל את ה-JavaScript של קובץ ה-HTML

במקרה שתגדיר Deep CDR למנוע לקבל כתובות URL בקבצים, אתה עדיין מוגן לחלוטין. Deep CDR מסיר את קוד ה-JavaScript הזדוני מקובץ ה-HTML שנטען מכיוון שהוא נחשב כאיום פוטנציאלי. ללא ה-JavaScript, לא ניתן להוריד ולהפעיל את קוד PowerShell. המשתמשים שלך יכולים לפתוח ולהשתמש בקובץ המשוחזר נטול האיומים בשמישות מלאה.

צילום מסך המציג קובץ נקי שעבר ניקוי באמצעות Deep CDR

אל תסמכו על גילוי

שיטת ניצול חדשה זו קשה לזיהוי מכיוון שהתוכנה הזדונית נטענת מתבנית מרוחקת, כך שקובץ ה-.docx יכול לעקוף את הגנת הרשת מכיוון שהוא אינו מכיל קוד זדוני (2). באופן דומה, פושעי סייבר ממשיכים לנצל באופן פעיל פגיעויות ולנצל לרעה וקטורי תקיפה שונים תוך מינוף תוכניות ותכונות של Microsoft Office כמו פקודות מאקרו, קישורים חיצוניים, אובייקטי OLE וכן הלאה כדי להעביר או להפעיל תוכנות זדוניות. עבור יישום אפס אמון אמיתי, לא ניתן להסתמך על מודל אבטחה של זיהוי-להגנה כדי למנוע התקפות יום אפס. ארגונים זקוקים לפתרון מקיף למניעת איומים כדי להגן עליהם מפני תוכנות זדוניות ידועות ולא ידועות כאחד.

Deep CDR הוא פתרון חדשני ויעיל להביס תוכנות זדוניות מתקדמות ומתקפות אפס-יום. הוא עוצר את ההתקפות בשלב המוקדם ביותר על ידי נטרול כל הרכיבים החשודים הניתנים להרצה, ובמקביל, מספק קבצים בטוחים לחלוטין ללא איומים.

 למידע נוסף על טכנולוגיית Deep CDR . כדי לראות כיצד נוכל לעזור לספק הגנה מקיפה לארגון שלך מפני מסמכים חמושים, דברו עם מומחה OPSWAT עכשיו .

הַפנָיָה

[1] https://twitter.com/nao_sec/status/1530196847679401984

[2] https://medium.com/m/global-identity?redirectUrl=https%3A%2F%2Fdoublepulsar.com%2Ffollina-a-microsoft-office-code-execution-vulnerability-1a47fce5629e

[3] https://msrc-blog.microsoft.com/2022/05/30/guidance-for-cve-2022-30190-microsoft-support-diagnostic-tool-vulnerability/

תגיות:

פוסטים אחרונים

הירשמו ל- OPSWAT ניוזלטר

קבלו את העדכונים האחרונים OPSWAT עדכוני חברה יחד עם מידע על אירועים וחדשות שמניעות את התעשייה קדימה.
הירשם

עקבו אחרינו ברשתות החברתיות Media

לַעֲקוֹב OPSWAT בלינקדאין, בפייסבוק, בטוויטר וביוטיוב שלכם לעוד!

הישאר מעודכן עם OPSWAT !

הירשמו עוד היום כדי לקבל את העדכונים האחרונים של החברה, סיפורים, מידע על אירועים ועוד.
הירשם