Badacze odkrywają lukę dnia zerowego Microsoft w pakiecie Office


Według badaczy bezpieczeństwa złośliwi aktorzy wykorzystują wcześniej nieujawnioną lukę zero-day, zero-click w pakiecie Microsoft Office, aby wykonywać polecenia PowerShell bez interakcji użytkownika.

Luka – odkryty przez badacza bezpieczeństwa nao_sec 27 maja i później nazwany przez Microsoft CVE-2022-30190 – wykorzystuje narzędzie Microsoft Diagnostic Tool (MSDT), które służy do wykonania kodu PowerShell po wywołaniu pliku HTML ze zdalnego adresu URL.

„Wykorzystuje zewnętrzne łącze Worda do załadowania kodu HTML, a następnie wykorzystuje schemat „ms-msdt” do wykonania kodu PowerShell” — powiedział nao_sec.

W blog opublikowany 30 majaMicrosoft dodał: „Atakujący, który z powodzeniem wykorzysta tę lukę, może uruchomić dowolny kod z uprawnieniami aplikacji wywołującej. Atakujący może następnie instalować programy, przeglądać, zmieniać lub usuwać dane lub tworzyć nowe konta w kontekście dozwolonym przez uprawnienia użytkownika.”

Exploit, znany również w społeczności infosec jako „Follina”, umożliwia atakującym wykonanie kodu za pośrednictwem narzędzia MSDT, nawet jeśli makra są wyłączone, i został pomyślnie odtworzony przez innych badaczy bezpieczeństwa, w tym Kevina Beaumonta i eksperci w Huntress.

„To kuszący atak dla przeciwników, ponieważ jest schowany w dokumencie Microsoft Word bez makr, aby wywołać znajome znaki ostrzegawcze dla użytkowników, ale z możliwością uruchomienia zdalnie hostowanego kodu” — powiedział John Hammond, starszy analityk ds. bezpieczeństwa w Huntress. w blog.

Reklama

„Aby lepiej zrozumieć to zagrożenie, analitycy bezpieczeństwa Huntress zmodyfikowali wewnętrzne elementy dokumentu Word, aby wywoływać lokalny adres w piaskownicy analitycznej i obsługiwali łagodny ładunek, który wyświetlałby komunikat, a nie detonował złośliwe oprogramowanie”.

Hammond dodał, że po testach stało się jasne, że ładunek nie zostanie uruchomiony bez „znacznej liczby znaków wypełniających”, które były obecne w pliku HTML.

Chociaż początkowo dla badaczy było to niejasne, dlaczego było to konieczne, Huntress był w stanie potwierdzić, że żadne pliki zawierające mniej niż 4096 bajtów nie wywołają ładunku po wysłał bloga wskazujący, że istnieje zakodowany na stałe rozmiar bufora dla funkcji przetwarzania HTML.

Beaumont odkrył również, że jeśli dokument programu Word zostanie zmieniony na format RTF (Rich Text File), wówczas exploit może zostać uruchomiony bez żadnej interakcji ze strony użytkownika, co zwiększa istotność exploita z pojedynczego kliknięcia do zerowego kliknięcia.

„Ta technika ataku uruchamia kod w ramach konta użytkownika, które otworzyło lub nawigowało w kierunku złośliwego dokumentu. Oznacza to, że przeciwnik może zacząć jako użytkownik o niskich uprawnieniach (bez uprawnień administratora), ale może następnie wykorzystać ten dostęp do wywołania dalszych ataków w celu eskalacji uprawnień i uzyskania większego dostępu do środowiska docelowego” – powiedział Hammond, dodając, że edukacja użytkowników w celu identyfikacji i usuwanie złośliwych wiadomości e-mail pozostaje najlepszą linią obrony, przynajmniej do czasu, gdy dostępna będzie poprawka do wdrożenia w punktach końcowych.

„W ciągu najbliższych dni spodziewamy się prób wykorzystywania na wolności za pośrednictwem poczty e-mail”.

Beaumont dodał, że wykrycie exploita pozostanie trudne, ponieważ Word ładuje złośliwy kod ze zdalnego szablonu, co oznacza, że ​​nic w samym dokumencie nie jest w rzeczywistości złośliwe.

„Microsoft prawdopodobnie chce zaostrzyć strony internetowe osadzone jako zdalne szablony w pakiecie Office przed ładowaniem tak wielu identyfikatorów URI, a program Outlook prawdopodobnie potrzebuje kolejnego przejścia wzmacniającego. To tylko moje opinie, jak zawsze – powiedział.

Według Grupa Goni Cieniagrupa zajmująca się polowaniem na zaawansowane trwałe zagrożenia (APT), luka została po raz pierwszy zgłoszona firmie Microsoft 12 kwietnia 2022 r., ale firma Microsoft zamknęła zgłoszenie 10 dni później, mówiąc, że nie jest to problem z zabezpieczeniami, ponieważ „msdt jest rzeczywiście wykonywany… wymaga Kod dostępu, gdy się uruchamia, a podany w tym przykładzie nie działa”.

Computer Weekly skontaktował się z firmą Microsoft, aby dowiedzieć się, dlaczego luka nie została uznana za zagrożenie bezpieczeństwa, a także czy i jak planuje naprawić problem, ale nie otrzymała odpowiedzi do czasu publikacji.





Source link

Advertisment

Więcej

ZOSTAW ODPOWIEDŹ

Proszę wpisać swój komentarz!
Proszę podać swoje imię tutaj

Advertisment

Podobne

Advertisment

Najnowsze

Shazam w Wear OS działa teraz bez Twojego telefonu

Aplikacja Shazam na Wear OS właśnie doczekała się fajnej aktualizacji: może teraz działać niezależnie od Twojego telefonu z Androidem.Aktualizacja, która była zauważony przez...

Relic Entertainment uniezależnia się i ogłasza oddzielenie od Segi

Dla naszych zawodników i fanów mamy ważny komunikat. Z inwestorem zewnętrznym, Reliktowa rozrywka stanie się niezależnym studiem deweloperskim. To dla nas...

Czy Mario czuje ból? To skomplikowane

Świat Super Mario to niebezpieczne miejsce. W grach hydraulik spada z klifu, zostaje dźgnięty kolcami i rzuca się w niego wszystkim, od...
Advertisment