Новая уязвимость в программном обеспечении нацелена на программы Microsoft

На выходных была обнаружена уязвимость «нулевого дня» в инструменте Windows, которую хакеры использовали через отравленные документы Word.

Независимая исследовательская группа по кибербезопасности, известная как nao_sec, объявила в серии твитов, что они обнаружили уязвимость во вредоносном документе Word, загруженном на Virus Total, веб-сайт для анализа подозрительного программного обеспечения.

Другой исследователь, Кевин Бомонт, назвавший уязвимость Folina, объяснил, что вредоносный документ использует функцию удаленного шаблона в Word для извлечения HTML-файла с удаленного веб-сервера. Затем файл использует схему URI MS-msdt MSProtocol от Microsoft для загрузки дополнительного кода в целевую систему, а также для выполнения некоторых команд Powershell.

Что еще хуже, вредоносный документ не нужно открывать для выполнения полезной нагрузки. Он запустится, если документ отображается на вкладке предварительного просмотра проводника Windows.

Microsoft перечисляет 41 версию продукта, на которую влияет Folina, от Windows 7 до Windows 11 и от Server 2008 до Server 2022. Известны и подтверждены случаи уязвимости Office, Office 2016, Office 2021 и Office 2022, независимо от версии Windows. работает на.

Сравнение Log4Shell

«Folina кажется тривиально эксплуатируемой и очень мощной, учитывая ее способность обходить Защитника Windows», — сказал TechNewsWorld Кейси Эллис, технический директор и основатель Bugcrowd, которая управляет краудсорсинговой платформой для поиска ошибок.

Вирулентность Folina, однако, была преуменьшена Роджером Граймсом, евангелистом защиты, основанной на данных, в KnowBe4, провайдере тренингов по безопасности в Клируотере, штат Флорида. загружали или нажимали», — сказал он TechNewsWorld.

— Это не то, — продолжил он. «Microsoft создаст исправление в течение нескольких дней или меньше, и если пользователи не отключили автоматическое исправление по умолчанию в Microsoft Office — или если они используют Office 365 — исправление будет автоматически применено быстро. Этот эксплойт вызывает беспокойство, но он не захватит мир».

Дирк Шредер, глобальный вице-президент New Net Technologies, в настоящее время являющейся частью Netwrix, поставщика программного обеспечения для обеспечения ИТ-безопасности и соответствия требованиям, в Неаполе, штат Флорида, сравнил Folina с уязвимостью Log4Shell, обнаруженной в декабре 2021 года и которая сегодня продолжает беспокоить тысячи предприятий.

Он объяснил, что Log4Shell — это неконтролируемый способ выполнения функции в функции в сочетании с возможностью обращения к внешним ресурсам. «Этот Zero Day, первоначально названный Folina, работает аналогичным образом», — сказал он TechNewsWorld.

«Встроенные инструменты безопасности Windows, скорее всего, не отловят эту активность, а стандартные тесты защиты не охватывают ее», — сказал он. «Встроенный защитный механизм, такой как Defender, или общие ограничения на использование макросов также не заблокируют эту атаку».

«Похоже, что эксплойт находится в дикой природе уже около месяца, с различными модификациями того, что должно быть выполнено в целевой системе», — добавил он.

Обходной путь Майкрософт

Microsoft официально признала уязвимость в понедельник (CVE-2022-30190), а также выпустила обходные пути для устранения уязвимости.

«Уязвимость удаленного выполнения кода существует, когда [средство диагностики поддержки Microsoft] вызывается с использованием протокола URL из вызывающего приложения, такого как Word», — поясняется в блоге компании.

«Злоумышленник, который успешно воспользуется этой уязвимостью, может запустить произвольный код с привилегиями вызывающего приложения», — говорится в сообщении. «Затем злоумышленник может устанавливать программы, просматривать, изменять или удалять данные или создавать новые учетные записи в контексте, разрешенном правами пользователя».

В качестве обходного пути Microsoft рекомендовала отключить протокол URL в инструменте MSDT. Это предотвратит запуск средств устранения неполадок в виде ссылок; однако доступ к средствам устранения неполадок по-прежнему можно получить с помощью приложения «Получить справку» и в системных настройках.

Обходной путь не должен причинять слишком много неудобств пользователям, отмечает Крис Клементс, вице-президент по архитектуре решений в Cerberus Sentinel, компании, занимающейся консультированием по вопросам кибербезопасности и тестированием на проникновение, в Скоттсдейле, штат Аризона.

«Инструмент поддержки по-прежнему работает в обычном режиме», — сказал он TechNewsWorld. «Единственное отличие состоит в том, что URL-адреса, использующие ссылку для конкретного протокола, не будут автоматически открываться в инструменте поддержки, как это было бы по умолчанию».

«Подумайте об этом, как о том, как нажатие на ссылку http: // автоматически открывает ваш браузер по умолчанию», — продолжил он. «Ссылки msdt: / по умолчанию просто предварительно связаны с инструментом поддержки. Смягчение удаляет эту ассоциацию с автоматическим открытием».

Более длительное время поддержки Tix

Рэй Стин, директор по безопасности компании MainSpring, поставщика управляемых ИТ-услуг во Фредерике, штат Мэриленд, согласился с тем, что обходной путь окажет минимальное влияние на пользователей. «MSDT — это не универсальный инструмент для устранения неполадок или поддержки, — сказал он TechNewsWorld. «Он используется только для обмена журналами с техническими специалистами Microsoft во время сеансов поддержки».

«Технические специалисты могут получить ту же информацию другими способами, в том числе с помощью инструмента «Отчет о диагностике системы», — сказал он.

Кроме того, он отметил: «Отключение протокола URL предотвращает только запуск MSDT по ссылке. Пользователи и удаленные технические специалисты по-прежнему смогут открывать его вручную».

Однако у организаций, отключающих протокол URL, может быть один потенциальный недостаток, отмечает Кармит Ядин, генеральный директор и основатель DeviceTotal, компании по управлению рисками в Тель-Авиве, Израиль. «Организации увидят увеличение времени обращения в службу поддержки, потому что MSDT традиционно помогает диагностировать проблемы с производительностью, а не только инциденты безопасности», — сказал он TechNewsWorld.

Уязвимость будет превращена в оружие

Хариш Акали, технический директор ColorTokens, поставщика автономных решений кибербезопасности с нулевым доверием, в Сан-Хосе, Калифорния, утверждает, что Фолина подчеркивает важность архитектуры нулевого доверия и решений, основанных на этом принципе.

«Такой подход разрешил бы только законную и одобренную сетевую связь и процессы на компьютере», — сказал он. «Программное обеспечение с нулевым доверием также будет блокировать боковое перемещение — ключевую тактику, которую хакеры используют для доступа к ценным данным после того, как они получают доступ к скомпрометированному ИТ-активу».

Шредер отметил, что в ближайшие недели злоумышленники, скорее всего, будут искать способы использовать уязвимость в качестве оружия. «Нулевой день в кампании целевого фишинга можно сочетать с недавно обнаруженными векторами атак и методами повышения привилегий для выхода из контекста текущего пользователя», — сказал он.

«Учитывая возможность этой комбинированной тактики, ИТ-специалисты должны убедиться, что системы тщательно контролируются для обнаружения взломов», — посоветовал он.

«Кроме того, — продолжил он, — поразительно сходство с Log4shell, который попал в заголовки газет в декабре 2021 года. Точно так же эта уязвимость связана с использованием возможности приложения удаленно обращаться к ресурсу с использованием схемы URI и отсутствием защитных мер».

«Мы можем ожидать, что APT-группы и кибер-мошенники будут специально искать больше таких, поскольку они, кажется, предлагают легкий путь», — добавил он.