هل هناك أي شيء يمكنك القيام به حيال فولينا؟

مايكروسوفت أوفيس صفر يوم الثغرة الأمنية يساء استخدامها لتنفيذ بوويرشيل

في 27 مايو 2022 ، تم اكتشاف خطأ في تنفيذ التعليمات البرمجية عن بعد لمدة يوم الصفر في Microsoft Office بواسطة Nao_Sec (1) وأطلق عليه الباحث كيفن بومونت اسم "Follina". تمكن هذه الثغرة الأمنية الشخص غير المصادق عليه من الوصول المستمر والتحكم في النظام الهدف عن بعد عن طريق استغلال ملفات Microsoft Office التي تم تنزيلها. يمكن للقراصنة استخدامه لتنفيذ أوامر PowerShell الضارة من خلال أداة تشخيص Microsoft (MSDT) حتى إذا تم تعطيل وحدات ماكرو Office.

وأوضح الباحث كيفن بومونت: "يستخدم المستند ميزة قالب Word البعيد لاسترداد ملف HTML من خادم ويب بعيد ، والذي بدوره يستخدم مخطط ms-msdt MSProtocol URI لتحميل بعض التعليمات البرمجية وتنفيذ بعض PowerShell". لا ينبغي أن يكون ذلك ممكنا". (2)

في 30 مايو 2022 ، أصدرت Microsoft CVE-2022-30190. تتأثر إصدارات Microsoft Office 2013 و 2016 و 2019 و 2021 ، بالإضافة إلى إصدارات Professional Plus. ومع ذلك ، لا يوجد تصحيح متاح اعتبارا من 1 يونيو 2022.

في منشور المدونة هذا ، نقوم بتحليل عينة البرامج الضارة ونوضح لك كيفية الدفاع عن نفسك من الهجمات.

نظرة عامة على الهجوم الذي ينتهك CVE-2022-30190

من خلال تحليل العينة ، وجدنا أن نهج الهجوم ليس جديدا. استخدم مؤلف التهديد ناقل هجوم مشابها للحملة التي تستغل CVE-2021-40444 في سبتمبر 2021 . استخدم كلا الهجومين رابطا خارجيا في ملف علاقة يؤدي إلى ملف HTML ضار.

باستخدام التصيد الاحتيالي أو الهندسة الاجتماعية ، قام مجرمو الإنترنت بتسليم ملف Microsoft Word (.docx) مسلحا للضحايا المستهدفين وخدعوهم لفتحه. يحتوي الملف على عنوان URL خارجي يشير إلى HTML ، والذي يحتوي على كود جافا سكريبت غير عادي.

تشير جافا سكريبت هذه إلى عنوان URL باستخدام ms-msdt: مخطط يمكنه تنفيذ رمز بعيد. 

كيفية منع الهجوم

في 30 مايو 2022، نشرت مايكروسوفت إرشادات حول الحلول البديلة لدعم المستخدمين في التخفيف من الثغرة المكشوفة حديثًا (3). في الوقت الحالي، يبدو أن تعطيل بروتوكول عنوان URL الخاص بـ MSDT هو الخيار الأسهل. ومع ذلك، ليس من الواضح حتى الآن ما هو تأثير تعطيل بروتوكول MSDT URL.

ومع ذلك، إذا كنت تستخدم OPSWAT MetaDefender مع Deep CDR (تعطيل المحتوى وإعادة بنائه)، فلا داعي للقلق بشأن كل هذه الأمور. إن شبكتك ومستخدميك في مأمن من الهجمات حيث يتم تعطيل كل المحتوى النشط المخفي في الملفات الضارة بواسطة Deep CDR قبل الوصول إلى المستخدمين لديك.

فيما يلي، نوضح فيما يلي كيفية تعامل Deep CDR مع الملف الضار وإنشاء ملف آمن للاستهلاك لمستخدميك، سواء تم تحميله إلى تطبيق الويب الخاص بك أو تم استلامه كمرفق بريد إلكتروني.

تحييد ملف مايكروسوفت وورد السام

بمجرد أن يدخل ملف .docx الذي يحتوي على عنوان URL خبيث إلى شبكة مؤسستك عبر رسائل البريد الإلكتروني وتحميل الملفات وما إلى ذلك، يقوم MetaDefender بفحصه باستخدام محركات متعددة لمكافحة البرامج الضارة باستخدام OPSWAT Metascan ويفحص الملف بحثاً عن التهديدات المحتملة، مثل كائنات OLE والارتباطات التشعبية والبرامج النصية وما إلى ذلك. بعد ذلك، تتم إزالة جميع التهديدات المضمنة أو تعقيمها بشكل متكرر حسب تكوينات Deep CDR . كما هو موضح في نتيجة معالجة الملف، تمت إزالة كائن OLE وتعقيم محتوى XML.

بعد العملية ، لم يعد المستند .docx يحتوي على ارتباط HTML الضار حيث تم استبداله برابط "فارغ". نتيجة لذلك ، حتى إذا قام المستخدمون الداخليون بفتح الملف ، فلن يتم تحميل أي برامج ضارة وتنفيذها.

مسح الملف الذي تم تنظيفه الذي تم إصداره بعد العملية باستخدام كليهما OPSWAT ميتاسكان و MetaDefender Sandbox، يمكننا أن نرى أن المستند خال من المخاطر.

قم بإلغاء تنشيط جافا سكريبت لملف HTML

في حال قمت بتكوين محرك Deep CDR لقبول عناوين URL في الملفات، فإنك لا تزال محميًا تمامًا. Deep CDR يزيل جافا سكريبت الخبيثة في ملف HTML المحمل لأنه يعتبر تهديدًا محتملاً. وبدون جافا سكريبت، لا يمكن تنزيل شفرة PowerShell وتنفيذها. يمكن للمستخدمين لديك فتح واستخدام الملف المعاد بناؤه الخالي من التهديدات مع إمكانية الاستخدام الكامل.

لا تعتمد على الكشف

ويصعب اكتشاف طريقة الاستغلال الجديدة هذه لأن البرمجيات الخبيثة يتم تحميلها من قالب بعيد، وبالتالي يمكن لملف .docx تجاوز الدفاع الشبكي لأنه لا يحتوي على تعليمات برمجية خبيثة (2). وبالمثل، يستمر مجرمو الإنترنت في استغلال الثغرات الأمنية وإساءة استخدام نواقل الهجوم المختلفة بالاستفادة من برامج وميزات Microsoft Office مثل وحدات الماكرو والروابط الخارجية وكائنات OLE وما إلى ذلك لإيصال البرمجيات الخبيثة أو تشغيلها. ولتحقيق تطبيق حقيقي خالٍ من الثقة، لا يمكنك الاعتماد على نموذج أمان الاكتشاف للحماية لمنع هجمات فورية. تحتاج المؤسسات إلى حل شامل للوقاية من التهديدات لحمايتها من البرمجيات الخبيثة المعروفة وغير المعروفة على حد سواء.

Deep CDR هو حل مبتكر وفعال لهزيمة البرمجيات الخبيثة المراوغة المتقدمة و هجمات فورية. فهو يوقف الهجمات في أولى مراحلها من خلال تعطيل جميع المكونات القابلة للتنفيذ المشتبه بها، وفي الوقت نفسه، يوفر في الوقت نفسه ملفات آمنة خالية من التهديدات بنسبة 100%.

تعرف على المزيد حول تقنيةDeep CDR . لمعرفة كيف يمكننا مساعدتك في توفير حماية شاملة لمؤسستك ضد المستندات المسلّحة، تحدث إلى أحد المتخصصين في OPSWAT الآن.

مرجع

[1] https://twitter.com/nao_sec/status/1530196847679401984

[2] https://medium.com/m/global-identity?redirectUrl=https%3A%2F%2Fdoublepulsar.com%2Ffollina-a-microsoft-office-code-execution-vulnerability-1a47fce5629e

[3] https://msrc-blog.microsoft.com/2022/05/30/guidance-for-cve-2022-30190-microsoft-support-diagnostic-tool-vulnerability/