Vulnerabilità zero-day di Microsoft Office sfruttata per eseguire PowerShell
Il 27 maggio 2022 è stato scoperto da Nao_Sec (1) un bug zero-day per l'esecuzione di codice remoto in Microsoft Office, soprannominato "Follina" dal ricercatore Kevin Beaumont. Questa vulnerabilità consente a una persona non autenticata di ottenere un accesso persistente e di assumere il controllo di un sistema di destinazione da remoto sfruttando i file Microsoft Office scaricati. Gli hacker possono utilizzarla per eseguire comandi PowerShell dannosi attraverso Microsoft Diagnostic Tool (MSDT) anche se le macro di Office sono disabilitate.
"Il documento utilizza la funzione di modello remoto di Word per recuperare un file HTML da un server web remoto, che a sua volta utilizza lo schema MSProtocol URI ms-msdt per caricare del codice ed eseguire PowerShell", ha spiegato il ricercatore Kevin Beaumont. "Questo non dovrebbe essere possibile". (2)
Il 30 maggio 2022, Microsoft ha pubblicato CVE-2022-30190. Sono interessate le versioni di Microsoft Office 2013, 2016, 2019 e 2021, nonché le edizioni Professional Plus. Tuttavia, al 1° giugno 2022 non è disponibile alcuna patch.
In questo post del blog, analizziamo il campione di malware e vi mostriamo come difendervi dagli attacchi.
Panoramica dell'attacco che abusa di CVE-2022-30190
Analizzando il campione, abbiamo scoperto che l'approccio all'attacco non è nuovo. L'autore della minaccia ha utilizzato un vettore di attacco simile a quello della campagna che sfruttava la CVE-2021-40444 nel settembre 2021. Entrambi gli attacchi hanno utilizzato un link esterno in un file di relazione che conduce a un file HTML dannoso.
Utilizzando il phishing o l'ingegneria sociale, i criminali informatici hanno consegnato un file Microsoft Word (.docx) armato alle vittime target e le hanno indotte ad aprirlo. Il file contiene un URL esterno che rimanda a un file HTML con un codice JavaScript insolito.
Questo JavaScript fa riferimento a un URL con lo schema ms-msdt: che può eseguire un codice remoto.
Come prevenire l'attacco
On 30 May 2022, Microsoft published guidance on workarounds to support users mitigating the newly exposed vulnerability (3). Currently, disabling the MSDT URL protocol appears to be the easiest option. Nevertheless, it is not yet clear what the impact of disabling MSDT URL protocol could be.
However, if you are using OPSWAT MetaDefender with our industry-leading Deep CDR™ Technology (Content Disarm and Reconstruction) technology, you don't have to worry about all of these things. Your network and users are safe from the attacks since all the active content concealed in the harmful files is disabled by Deep CDR™ Technology before reaching your users.
Hereunder, we demonstrate how Deep CDR™ Technology handles the malicious file and generates a safe-to-consume file for your users whether it was uploaded to your web application or received as an email attachment.
Neutralizzare il file Microsoft Word tossico
Once the .docx file with a malicious URL enters your organization's network via emails, file uploads, etc., MetaDefender scans it with multiple anti-malware engines using OPSWAT Metascan and examines the file for potential threats, such as OLE objects, hyperlinks, scripts, etc. Next, all the embedded threats are removed or recursively sanitized depending on Deep CDR™ Technology configurations. As shown in our file processing result, an OLE object was removed and the XML content was sanitized.
Al termine del processo, il documento .docx non contiene più il link HTML dannoso, poiché è stato sostituito con un link "vuoto". Di conseguenza, anche se gli utenti interni aprono il file, non viene caricato ed eseguito alcun malware.
Scanning the cleaned file released after the process with both OPSWAT Metascan and MetaDefender Aether, we can see that the document is risk-free.
Disattivare il JavaScript del file HTML
In case you configure Deep CDR™ Technology engine to accept URLs in files, you are still completely protected. Deep CDR™ Technology removes the malicious JavaScript in the loaded HTML file because it's considered as a potential threat. Without the JavaScript, the PowerShell code cannot be downloaded and executed. Your users can open and use the threat-free reconstructed file with full usability.
Non affidatevi al rilevamento
This new exploitation method is hard to detect because the malware is loaded from a remote template, so the .docx file can bypass the network defense as it does not contain malicious code (2). Likewise, cybercriminals continue to actively exploit vulnerabilities and abuse various attack vectors leveraging Microsoft Office programs and features like macros, external links, OLE objects, and so on to deliver or trigger malware. For a true zero trust implementation, you cannot rely on a detect-to-protect security model to prevent zero-day attacks. Organizations need a comprehensive threat prevention solution to protect them from both known and unknown malware.
Deep CDR™ Technology is an innovative and effective solution to defeat advanced evasive malware and zero-day attacks. It stops the attacks at the earliest stage by disarming all suspect executable components, and at the same time, providing 100% threat-free safe to consume files.
Learn more about Deep CDR™ Technology. To see how we can help provide comprehensive protection to your organization against weaponized documents, talk to an OPSWAT specialist now.
