هل هناك أي شيء يمكنك القيام به حيال فولينا؟

مايكروسوفت أوفيس صفر يوم الثغرة الأمنية يساء استخدامها لتنفيذ بوويرشيل

في 27 مايو 2022 ، تم اكتشاف خطأ في تنفيذ التعليمات البرمجية عن بعد لمدة يوم الصفر في Microsoft Office بواسطة Nao_Sec (1) وأطلق عليه الباحث كيفن بومونت اسم "Follina". تمكن هذه الثغرة الأمنية الشخص غير المصادق عليه من الوصول المستمر والتحكم في النظام الهدف عن بعد عن طريق استغلال ملفات Microsoft Office التي تم تنزيلها. يمكن للقراصنة استخدامه لتنفيذ أوامر PowerShell الضارة من خلال أداة تشخيص Microsoft (MSDT) حتى إذا تم تعطيل وحدات ماكرو Office.

وأوضح الباحث كيفن بومونت: "يستخدم المستند ميزة قالب Word البعيد لاسترداد ملف HTML من خادم ويب بعيد ، والذي بدوره يستخدم مخطط ms-msdt MSProtocol URI لتحميل بعض التعليمات البرمجية وتنفيذ بعض PowerShell". لا ينبغي أن يكون ذلك ممكنا". (2)

في 30 مايو 2022 ، أصدرت Microsoft CVE-2022-30190. تتأثر إصدارات Microsoft Office 2013 و 2016 و 2019 و 2021 ، بالإضافة إلى إصدارات Professional Plus. ومع ذلك ، لا يوجد تصحيح متاح اعتبارا من 1 يونيو 2022.

في منشور المدونة هذا ، نقوم بتحليل عينة البرامج الضارة ونوضح لك كيفية الدفاع عن نفسك من الهجمات.

نظرة عامة على الهجوم الذي ينتهك CVE-2022-30190

من خلال تحليل العينة ، وجدنا أن نهج الهجوم ليس جديدا. استخدم مؤلف التهديد ناقل هجوم مشابها للحملة التي تستغل CVE-2021-40444 في سبتمبر 2021 . استخدم كلا الهجومين رابطا خارجيا في ملف علاقة يؤدي إلى ملف HTML ضار.

باستخدام التصيد الاحتيالي أو الهندسة الاجتماعية ، قام مجرمو الإنترنت بتسليم ملف Microsoft Word (.docx) مسلحا للضحايا المستهدفين وخدعوهم لفتحه. يحتوي الملف على عنوان URL خارجي يشير إلى HTML ، والذي يحتوي على كود جافا سكريبت غير عادي.

تشير جافا سكريبت هذه إلى عنوان URL باستخدام ms-msdt: مخطط يمكنه تنفيذ رمز بعيد. 

كيفية منع الهجوم

في 30 مايو 2022، نشرت Microsoft إرشادات حول الحلول البديلة لدعم المستخدمين في التخفيف من حدة الثغرة الأمنية التي تم الكشف عنها مؤخرًا (3). في الوقت الحالي، يبدو أن تعطيل بروتوكول MSDT URL هو الخيار الأسهل. ومع ذلك، لم يتضح بعد تأثير تعطيل بروتوكول MSDT URL.

ومع ذلك، إذا كنت تستخدم OPSWAT MetaDefender مع تقنية Deep CDR™ (إبطال مفعول المحتوى وإعادة بنائه) الرائدة في الصناعة، فلا داعي للقلق بشأن كل هذه الأمور. تكون شبكتك ومستخدموك في مأمن من الهجمات لأن جميع المحتويات النشطة المخفية في الملفات الضارة يتم تعطيلها بواسطة تقنية Deep CDR™ قبل وصولها إلى المستخدمين.

فيما يلي، نوضح كيف تتعامل تقنية Deep CDR™ مع الملفات الضارة وتولد ملفات آمنة للاستخدام للمستخدمين سواء تم تحميلها على تطبيق الويب الخاص بك أو تم استلامها كمرفق بريد إلكتروني.

تحييد ملف مايكروسوفت وورد السام

بمجرد دخول ملف .docx الذي يحتوي على عنوان URL ضار إلى شبكة مؤسستك عبر البريد الإلكتروني أو تحميل الملفات أو غير ذلك، MetaDefender باستخدام عدة محركات لمكافحة البرامج الضارة باستخدام OPSWAT ويفحص الملف بحثًا عن التهديدات المحتملة، مثل كائنات OLE والارتباطات التشعبية والنصوص البرمجية وما إلى ذلك. بعد ذلك، تتم إزالة جميع التهديدات المضمنة أو تنظيفها بشكل متكرر اعتمادًا على تكوينات تقنية Deep CDR™. كما هو موضح في نتيجة معالجة الملفات لدينا، تمت إزالة كائن OLE وتم تنظيف محتوى XML.

بعد العملية ، لم يعد المستند .docx يحتوي على ارتباط HTML الضار حيث تم استبداله برابط "فارغ". نتيجة لذلك ، حتى إذا قام المستخدمون الداخليون بفتح الملف ، فلن يتم تحميل أي برامج ضارة وتنفيذها.

بفحص الملف الذي تم تنظيفه بعد العملية باستخدام كل من OPSWAT و MetaDefender ، يمكننا أن نرى أن المستند خالٍ من المخاطر.

قم بإلغاء تنشيط جافا سكريبت لملف HTML

في حالة تكوين محرك Deep CDR™ Technology لقبول عناوين URL في الملفات، فستظل محميًا تمامًا. تعمل تقنية Deep CDR™ Technology على إزالة JavaScript الضار من ملف HTML المحمّل لأنه يعتبر تهديدًا محتملاً. بدون JavaScript، لا يمكن تنزيل رمز PowerShell وتنفيذه. يمكن للمستخدمين فتح الملف المعاد بناؤه الخالي من التهديدات واستخدامه بكامل قابليته للاستخدام.

لا تعتمد على الكشف

يصعب اكتشاف طريقة الاستغلال الجديدة هذه لأن البرمجيات الخبيثة يتم تحميلها من قالب بعيد، وبالتالي يمكن لملف .docx تجاوز دفاعات الشبكة لأنه لا يحتوي على رموز خبيثة (2). وبالمثل، يواصل مجرمو الإنترنت استغلال الثغرات الأمنية وإساءة استخدام مختلف نواقل الهجوم بالاستفادة من برامج Microsoft Office وميزاتها مثل الماكرو والروابط الخارجية وكائنات OLE وما إلى ذلك لتوصيل البرمجيات الخبيثة أو تشغيلها. لتنفيذ نهج "الثقة الصفرية" الحقيقي، لا يمكنك الاعتماد على نموذج الأمان القائم على الكشف والحماية لمنع هجمات فورية. تحتاج المؤسسات إلى حل شامل لمنع التهديدات لحمايتها من البرامج الضارة المعروفة وغير المعروفة.

تعد تقنية Deep CDR™ حلاً مبتكرًا وفعالًا للتغلب على البرامج الضارة المتطورة هجمات فورية. فهي توقف الهجمات في مرحلة مبكرة عن طريق تعطيل جميع المكونات القابلة للتنفيذ المشبوهة، وفي الوقت نفسه، توفر ملفات آمنة 100٪ خالية من التهديدات.

تعرف على المزيد حول تقنية Deep CDR™. لمعرفة كيف يمكننا المساعدة في توفير حماية شاملة لمؤسستك ضد المستندات المسلحة، تحدث الآن إلى أحد OPSWAT .

مرجع

[1] https://twitter.com/nao_sec/status/1530196847679401984

[2] https://medium.com/m/global-identity?redirectUrl=https%3A%2F%2Fdoublepulsar.com%2Ffollina-a-microsoft-office-code-execution-vulnerability-1a47fce5629e

[3] https://msrc-blog.microsoft.com/2022/05/30/guidance-for-cve-2022-30190-microsoft-support-diagnostic-tool-vulnerability/