С годовым объемом продаж около 200 миллиардов долларов Microsoft является крупнейшим в мире поставщиком программного обеспечения и информационных технологий (ИТ), а ее продукты широко используются как компаниями, так и потребителями. Это также делает его самым большим источником уязвимостей, на которые нацелены хакеры.
По данным Агентства кибербезопасности и безопасности инфраструктуры США (CISA), более трети всех активно эксплуатируемых уязвимостей в этом году были недостатками в системах Microsoft. В феврале и мае это число достигло почти 50%.
Это тревожная ситуация, поскольку эти уязвимости затрагивают широко используемые (и критически важные) программы, такие как Teams, Outlook, Office, SQL Server, а также Windows и Windows Server. Microsoft добилась впечатляющих успехов в качестве поставщика средств защиты, но некоторые исследователи кибербезопасности говорят, что гигант программного обеспечения и облачных вычислений мог бы сделать больше для обеспечения безопасности в своих собственных продуктах.
На прошлой неделе исследователи обнаружили доказательства того, что хакеры активно используют уязвимость нулевого дня, получившую название «Follina», которая в конечном итоге позволяет выполнять удаленное выполнение кода (RCE) в Windows с поддельными документами Microsoft Office.
По словам Nao Sec, японской исследовательской группы по кибербезопасности, вредоносная программа загружается с удаленных серверов и обходит Microsoft Defender. Уязвимость, зарегистрированная как
Microsoft опубликовала стратегии смягчения последствий 30 мая. Пользователям и администраторам настоятельно рекомендуется отключить протокол
Фоллина и протокол URL-адресов MSDT
Средство диагностики поддержки Microsoft Windows (MSDT) — это инструмент диагностики оборудования, предоставляемый Windows для выявления значений или проблем с аппаратными устройствами или программным обеспечением. По данным Microsoft, все версии Windows, которые до сих пор поддерживаются (например, с исправлениями безопасности), уязвимы для Follina.
Чтобы продемонстрировать уязвимость, исследователи Nao Sec создали документ, который злоупотребляет функцией удаленного шаблона Microsoft Word и извлекает вредоносный
Таким образом, злоумышленник может использовать уязвимость в Office для запуска произвольного кода «с привилегиями вызывающего приложения». Джон Хаммонд, исследователь кибербезопасности в HuntressLabs, создал видео, чтобы помочь людям визуализировать эксплойт.
Что еще хуже, зараженные документы, скорее всего, будут обходить решения EDR. Действительно, ничего вредоносного нет, кроме ссылки на удаленный
Большинство демонстраций заканчиваются выполнением calc.exe или notepad.exe, поскольку это классическое доказательство концепции, используемой во время CTF и осведомленности о кибербезопасности в целом, но злоумышленники могут нанести серьезный ущерб этим в реальных условиях.
Исследователь критикует подход Microsoft к безопасности
Кевин Бомонт — исследователь безопасности, назвавший уязвимость Follina и публично идентифицировавший ее как нулевой день после того, как Nao Sec опубликовала свой POC (доказательство концепции), заявив, что он «назвал ее Follina, потому что обнаруженный образец в файле ссылается на 0438, который это код города Фоллина в Италии».
По словам Бомонта, уязвимость существовала более месяца, и реакция Microsoft была неадекватной. Действительно, в марте 2021 года в Microsoft было сообщено, что протокол MSDT URL может использоваться, например, с Microsoft Teams для выполнения кода, но Microsoft MSRC решила закрыть заявку.
В своем посте исследователь указал, что «поверхность атаки MS Protocol в Office чрезвычайно велика», а популярное программное обеспечение, такое как Outlook, позволяет пользователям щелкнуть любую гиперссылку, что позволяет использовать различные схемы URI Windows, что увеличивает шансы избежать обнаружения.
Как и в случае с Follina, эти проблемы остаются проблематичными и потребуют «еще одного усиления защиты», но хуже для Бомонта то, что «Microsoft не выпустила CVE или не проинформировала клиентов, но скрытно исправила ее в Microsoft Teams в августе 2021 года. MSDT в Windows или вектор в Microsoft Office».
В марте 2022 года было опубликовано несколько сообщений в блогах, посвященных той же проблеме. Еще один тикет был даже открыт в апреле 2022 года, связанный с эксплойтом, нацеленным на Россию, с приглашением на так называемое собеседование, но Microsoft MSRC снова закрыл тикет.
30 мая Microsoft выделила CVE и опубликовала сообщение в блоге, чтобы окончательно классифицировать его как нулевой день на следующий день.
Следует отметить, что обходные пути также подвергались критике не только со стороны Бомонта, но и других исследователей безопасности, таких как Хаммонд, которые ожидают, что RCE с нулевым щелчком мыши будут использовать MSDT в будущем.
Как защититься от Фоллина
Microsoft рекомендует следующие меры для защиты от эксплойтов Follina:
- Откройте командную строку
- Создайте резервную копию записи реестра, связанной с протоколом
URL-адресов MSDT, с помощью командной строки «reg export HKEY_CLASSES_ROOT\ms-msdt > backup_entry». - Удалите запись с помощью «reg delete HKEY_CLASSES_ROOT\
ms-msdt /f»
Пользователи смогут снова включить его с помощью простой команды «reg import backup_entry».
Важно отметить, что эксплойт не имеет ничего общего с макросами, поэтому, хотя их отключение может смягчить другие атаки, здесь это никак не решит проблему.
CISA призывает пользователей и администраторов ознакомиться с руководством Microsoft по
Команды безопасности могут использовать этот документ MS и это правило поиска угроз для своих расследований.
В более общем плане этот инцидент является приглашением проявлять особую бдительность в отношении документов Word, особенно тех, которые отправляются по электронной почте, так как в этом случае большинство почтовых шлюзов, вероятно, не пометят его как подозрительный.