面對微軟Follina零時差漏洞,這麼做可以保護組織免受攻擊

6 月
09
2022

面對微軟Follina零時差漏洞,這麼做可以保護組織免受攻擊

2022 年 5 月 27 日,Nao_Sec (1) 發現了 Microsoft Office 中的一個零日遠端程式碼執行漏洞,並被研究員 Kevin Beaumont 稱為“Follina”。 此漏洞讓未經身份驗證的人能夠通過下載來的 Microsoft Office 文件獲得權限並遠端控制目標系統。 即使 Office 的巨集被禁用,駭客也可以使用它通過 Microsoft 診斷工具 (MSDT) 執行惡意 PowerShell 命令。

“該文件使用 Word 遠端模板功能從遠端網路伺服器檢索 HTML 文件,該伺服器又使用 ms-msdt MSProtocol URI 協定加載程式碼並執行 PowerShell,”研究員 Kevin Beaumont 解釋﹔「那應該是不可能的。」(2)

2022 年 5 月 30 日,微軟發布了 CVE-2022-30190。 Microsoft Office 版本 2013、2016、2019 和 2021 以及 Professional Plus 版本會受到影響。 但是,截至 2022 年 6 月 1 日,沒有可用的修補程式。

在這篇文章中,我們分析了惡意軟體樣本,並向您展示如何保護自己免受攻擊。

 

針對 CVE-2022-30190 的概述

通過分析樣本,我們發現攻擊方式並不特別。 這名駭客使用了與 2021 年 9 月利用 CVE-2021-40444 的事件類似的攻擊方式。兩次攻擊都使用了關聯文件中的外部連結來產生惡意 HTML 文件。

利用網路釣魚或社交工程手法,駭客向目標受害者提供了一個武器化的 Microsoft Word 文件 (.docx),並誘騙他們打開它。 該文件包含一個引用 HTML 的外部 URL,該 HTML 則含有不尋常的 JavaScript 代碼。

External Link Threat

該 JavaScript 引用了一個帶有 ms-msdt:的URL協定,該協定被呼叫時即可以執行遠端程式碼。

JavaScript Executing Remote PowerShell Code

這是從來自 https://twitter.com/0xBacco/status/1531599168363548672的 POC 重新創建的映像,以顯示 JavaScript 的範例

如何防止攻擊

2022 年 5 月 30 日,Microsoft 發布了有關解決方法的指南,以幫助用戶緩解新暴露的漏洞 (3)。 目前,禁用 MSDT URL 協定似乎是最簡單的選擇。 然而,目前尚不清楚禁用 MSDT URL 協定的影響是什麼。

但是,如果您將 OPSWAT MetaDefender 與我們行業領先的 Deep CDR(深度檔案清洗)技術一起使用,您就不必擔心所有這些事情。 您的網路和用戶可以免受攻擊,因為隱藏在有害文件中的所有活動內容在到達您的用戶之前都已被 Deep CDR 禁用。

下面,我們將展示 Deep CDR 如何處理惡意文件並為您的用戶生成可安全使用的文件,無論該文件是上傳到您的 Web 應用程式還是作為電子郵件附件接收。

中和有毒的 Microsoft Word 文件

一旦帶有惡意 URL 的 .docx 文件通過電子郵件、文件上傳等方式進入您組織的網路,MetaDefender 就會使用 OPSWAT Metascan 使用多個反惡意軟體引擎對其進行掃描,並檢查文件是否存在潛在威脅,例如 OLE 物件、超連結、腳本等。接下來,根據 Deep CDR 配置刪除或遞歸清理所有嵌入式威脅。 如我們的文件處理結果所示,刪除了一個 OLE 物件並清理了 XML 內容。

在此過程之後,.docx 文檔不再包含惡意 HTML 連結,因為它被替換為“空白”連結。 因此,即使您的內部用戶打開文件,也不會加載和執行惡意軟體。

Safe Target Blank

使用 OPSWAT Metascan 和 OPSWAT Sandbox 掃描清理後發布的文件,我們可以看到該文件是毫無風險的。

Sanitized File by MetaDefender

停用 HTML 文件的 JavaScript

如果您選擇將 Deep CDR 引擎配置為”接受文件中的 URL”,您仍然會受到完全的保護。 因為Deep CDR 仍會刪除加載於 HTML 文件中的惡意 JavaScript。 如果沒有 JavaScript,就無法下載和執行 PowerShell 程式碼。 您的用戶可以打開和使用完全可用的無威脅重建文件。

POC HTML

千萬不要依賴偵測

這種新的漏洞利用方法很難被偵測到,因為惡意軟體是從遠端模板加載的,因此 .docx 文件可以繞過網路防禦,因為它本身不包含惡意程式碼 (2)。 同樣,駭客會繼續積極利用漏洞並濫用各種攻擊媒介,利用 Microsoft Office 程式和功能(如巨集、外部連結、OLE 對象等)來傳遞或觸發惡意軟體。 對於真正的零信任實施,您不能依靠偵測模型來防止零時差攻擊。 組織需要一個全面的威脅防禦解決方案來保護他們免受已知和未知惡意軟體的侵害。

OPSWAT Deep CDR 是一種創新且有效的解決方案,可以抵禦高階惡意軟體和零日攻擊。 它通過解除所有可疑的可執行組件在初始攻擊階段阻止攻擊,同時提供 100% 無威脅的安全使用文件。

想更了解如何使用OPSWAT 的 Deep CDR 技術來為組織提供針對武器化文件的全面保護,請立即聯繫 OPSWAT 專家

參照:
[1] https://twitter.com/nao_sec/status/1530196847679401984
[2] https://medium.com/m/global-identity?redirectUrl=https%3A%2F%2Fdoublepulsar.com%2Ffollina-a-microsoft-office-code-execution-vulnerability-1a47fce5629e
[3] https://msrc-blog.microsoft.com/2022/05/30/guidance-for-cve-2022-30190-microsoft-support-diagnostic-tool-vulnerability/

 

資料來源:OPSWAT Blog

延伸閱讀


橙鋐科技致力於資安設備代理與銷售通路建立,橫跨金融、電信、政府、製造、醫療、教育等產業領域,為客戶打造全方位網路安全解決方案。