Vulnerabilità zero-day di Microsoft Office sfruttata per eseguire PowerShell
Il 27 maggio 2022 è stato scoperto da Nao_Sec (1) un bug zero-day per l'esecuzione di codice remoto in Microsoft Office, soprannominato "Follina" dal ricercatore Kevin Beaumont. Questa vulnerabilità consente a una persona non autenticata di ottenere un accesso persistente e di assumere il controllo di un sistema di destinazione da remoto sfruttando i file Microsoft Office scaricati. Gli hacker possono utilizzarla per eseguire comandi PowerShell dannosi attraverso Microsoft Diagnostic Tool (MSDT) anche se le macro di Office sono disabilitate.
"Il documento utilizza la funzione di modello remoto di Word per recuperare un file HTML da un server web remoto, che a sua volta utilizza lo schema MSProtocol URI ms-msdt per caricare del codice ed eseguire PowerShell", ha spiegato il ricercatore Kevin Beaumont. "Questo non dovrebbe essere possibile". (2)
Il 30 maggio 2022, Microsoft ha pubblicato CVE-2022-30190. Sono interessate le versioni di Microsoft Office 2013, 2016, 2019 e 2021, nonché le edizioni Professional Plus. Tuttavia, al 1° giugno 2022 non è disponibile alcuna patch.
In questo post del blog, analizziamo il campione di malware e vi mostriamo come difendervi dagli attacchi.
Panoramica dell'attacco che abusa di CVE-2022-30190
Analizzando il campione, abbiamo scoperto che l'approccio all'attacco non è nuovo. L'autore della minaccia ha utilizzato un vettore di attacco simile a quello della campagna che sfruttava la CVE-2021-40444 nel settembre 2021. Entrambi gli attacchi hanno utilizzato un link esterno in un file di relazione che conduce a un file HTML dannoso.
Utilizzando il phishing o l'ingegneria sociale, i criminali informatici hanno consegnato un file Microsoft Word (.docx) armato alle vittime target e le hanno indotte ad aprirlo. Il file contiene un URL esterno che rimanda a un file HTML con un codice JavaScript insolito.
Questo JavaScript fa riferimento a un URL con lo schema ms-msdt: che può eseguire un codice remoto.
Come prevenire l'attacco
Il 30 maggio 2022, Microsoft ha pubblicato una guida sui workaround per supportare gli utenti a mitigare la vulnerabilità appena esposta (3). Attualmente, la disabilitazione del protocollo URL MSDT sembra essere l'opzione più semplice. Tuttavia, non è ancora chiaro quale potrebbe essere l'impatto della disabilitazione del protocollo URL MSDT.
Tuttavia, se si utilizza OPSWAT MetaDefender con il nostro sistema leader di settore Deep CDR (Content Disarm and Reconstruction), non dovete preoccuparvi di tutti questi aspetti. La rete e gli utenti sono al sicuro dagli attacchi, poiché tutti i contenuti attivi nascosti nei file dannosi vengono disattivati da Deep CDR prima di raggiungere gli utenti.
Di seguito viene illustrato il modo in cui Deep CDR gestisce il file dannoso e genera un file sicuro da consumare per i vostri utenti, sia che sia stato caricato sulla vostra applicazione web sia che sia stato ricevuto come allegato di una e-mail.
Neutralizzare il file Microsoft Word tossico
Una volta che il file .docx con un URL dannoso entra nella rete dell'organizzazione tramite e-mail, upload di file e così via, MetaDefender lo analizza con più motori anti-malware utilizzando OPSWAT Metascan ed esamina il file alla ricerca di potenziali minacce, come oggetti OLE, collegamenti ipertestuali, script e così via. Successivamente, tutte le minacce incorporate vengono rimosse o sanificate in modo ricorsivo, a seconda delle configurazioni di Deep CDR . Come mostrato nei risultati dell'elaborazione del file, un oggetto OLE è stato rimosso e il contenuto XML è stato sanificato.
Al termine del processo, il documento .docx non contiene più il link HTML dannoso, poiché è stato sostituito con un link "vuoto". Di conseguenza, anche se gli utenti interni aprono il file, non viene caricato ed eseguito alcun malware.
Analizzando il file pulito rilasciato dopo il processo sia con OPSWAT Metascan che con MetaDefender Sandbox , si può notare che il documento è privo di rischi.
Disattivare il JavaScript del file HTML
Se si configura il motore Deep CDR in modo che accetti gli URL nei file, si è comunque completamente protetti. Deep CDR rimuove il JavaScript dannoso nel file HTML caricato perché è considerato una potenziale minaccia. Senza JavaScript, il codice PowerShell non può essere scaricato ed eseguito. Gli utenti possono aprire e utilizzare il file ricostruito senza minacce con piena usabilità.
Non affidatevi al rilevamento
Questo nuovo metodo di sfruttamento è difficile da rilevare perché il malware viene caricato da un modello remoto, quindi il file .docx può aggirare la difesa di rete in quanto non contiene codice dannoso (2). Allo stesso modo, i criminali informatici continuano a sfruttare attivamente le vulnerabilità e ad abusare di vari vettori di attacco sfruttando i programmi e le funzionalità di Microsoft Office, come macro, collegamenti esterni, oggetti OLE e così via, per diffondere o attivare il malware. Per una vera implementazione zero trust, non è possibile affidarsi a un modello di sicurezza detect-to-protect per prevenire gli attacchi zero-day. Le organizzazioni hanno bisogno di una soluzione completa di prevenzione delle minacce per proteggersi dal malware noto e sconosciuto.
Deep CDR è una soluzione innovativa ed efficace per sconfiggere il malware evasivo avanzato e gli attacchi zero-day. Blocca gli attacchi nella fase iniziale disattivando tutti i componenti eseguibili sospetti e, allo stesso tempo, fornendo file sicuri al 100% da consumare.
Per saperne di più sulla tecnologiaDeep CDR . Per scoprire come possiamo aiutarvi a fornire una protezione completa alla vostra organizzazione contro i documenti armati, parlate subito con uno specialista di OPSWAT .
