Μία νέα ευπάθεια zero-day έχει ανακαλυφθεί από ερευνητές ασφαλείας στο Microsoft Office, που χρησιμοποιείται σε επιθέσεις για την εκτέλεση κακόβουλων εντολών PowerShell, μέσω του Microsoft Diagnostic Tool (MSDT) απλά ανοίγοντας ένα έγγραφο Word.
Δείτε επίσης: Microsoft Edge: Το Drop feature θα επιτρέπει κοινή χρήση αρχείων μεταξύ συσκευών
Η ευπάθεια που αναφέρεται από την κοινότητα infosec ως «Follina», αξιοποιείται με τη χρήση κακόβουλων εγγράφων Word που εκτελούν εντολές PowerShell μέσω του MSDT.
Το Follina zero-day ανοίγει την πόρτα σε ένα νέο είδος κρίσιμης επίθεσης, που αξιοποιεί τα προγράμματα του Microsoft Office καθώς λειτουργεί χωρίς αυξημένα προνόμια, παρακάμπτει την ανίχνευση του Windows Defender και δεν χρειάζεται κώδικα μακροεντολής για να ενεργοποιηθεί για την εκτέλεση δυαδικών αρχείων ή σεναρίων.
Την περασμένη Παρασκευή, ο ερευνητής ασφάλειας nao_sec, βρήκε ένα κακόβουλο έγγραφο Word που υποβλήθηκε στην πλατφόρμα σάρωσης Virus Total από μια διεύθυνση IP στη Λευκορωσία.
Ο ερευνητής ασφαλείας Kevin Beaumont απέκοψε τον κώδικα και εξηγεί ότι πρόκειται για μια συμβολοσειρά γραμμής εντολών, που το Microsoft Word εκτελεί χρησιμοποιώντας MSDT, ακόμα κι αν τα σενάρια μακροεντολών είναι απενεργοποιημένα.
Το εν λόγω σενάριο PowerShell θα εξάγει ένα κωδικοποιημένο αρχείο Base64 από ένα αρχείο RAR και θα το εκτελέσει. Αυτό το αρχείο δεν είναι πλέον διαθέσιμο, επομένως δεν είναι σαφές ποια κακόβουλη δραστηριότητα εκτελέστηκε από την επίθεση.
Ο Beaumont διευκρινίζει τα πράγματα περισσότερο λέγοντας ότι το κακόβουλο έγγραφο Word χρησιμοποιεί τη δυνατότητα απομακρυσμένου προτύπου για να ανακτήσει ένα αρχείο HTML από έναν απομακρυσμένο διακομιστή.
Δείτε ακόμα: Mozilla: Επιδιορθώνει zero-days που αξιοποιήθηκαν στο Pwn2Own
Στη συνέχεια, ο κώδικας HTML χρησιμοποιεί το σχήμα πρωτοκόλλου MS-MSDT URI της Microsoft για τη φόρτωση πρόσθετου κώδικα και την εκτέλεση κώδικα PowerShell.
Ο ερευνητής προσθέτει ότι η δυνατότητα Προστατευμένης προβολής στο Microsoft Office, που έχει σχεδιαστεί για να ειδοποιεί σχετικά με αρχεία από δυνητικά μη ασφαλείς τοποθεσίες, ενεργοποιείται για να προειδοποιήσει τους χρήστες για την πιθανότητα ενός κακόβουλου εγγράφου.
Ωστόσο, αυτή η προειδοποίηση μπορεί εύκολα να παρακαμφθεί αλλάζοντας το έγγραφο σε αρχείο RTF. Με αυτόν τον τρόπο, ο ασαφής κώδικας μπορεί να εκτελεστεί «χωρίς καν να ανοίξετε το έγγραφο».
Πολλοί ερευνητές ασφάλειας ανέλυσαν το κακόβουλο έγγραφο που μοιράστηκε ο nao_sec και αναπαρήγαγαν με επιτυχία το exploit με πολλές εκδόσεις του Microsoft Office.
Ο Beaumont προειδοποιεί ότι η ανίχνευση αυτής της νέας μεθόδου εκμετάλλευσης “μάλλον δεν θα είναι εύκολη”, υποστηρίζοντας ότι ο κακόβουλος κώδικας φορτώνεται από ένα απομακρυσμένο πρότυπο, επομένως το έγγραφο Word που φέρει δεν θα επισημανθεί ως απειλή, καθώς δεν περιλαμβάνει κακόβουλο κώδικα, απλώς μια αναφορά σε αυτόν.
Για οργανισμούς που βασίζονται στους κανόνες ASR του Microsoft Defender, προτείνεται η ενεργοποίηση του «Αποκλεισμός όλων των εφαρμογών του Office από τη δημιουργία θυγατρικών διεργασιών» σε λειτουργία Αποκλεισμού, κάτι που θα αποτρέψει τις εκμεταλλεύσεις του Follina.
Δείτε επίσης: Predator spyware μόλυνε συσκευές Android χρησιμοποιώντας zero-days
Η εκτέλεση του κανόνα στη λειτουργία ελέγχου πρώτα και η παρακολούθηση των αποτελεσμάτων συνιστάται πριν από τη χρήση του ASR, για να βεβαιωθείτε ότι οι τελικοί χρήστες δεν αντιμετωπίζουν δυσμενείς επιπτώσεις.
Ένας άλλος μετριασμός θα ήταν η κατάργηση της συσχέτισης τύπου αρχείου για το ms-msdt, έτσι ώστε το Microsoft Office να μην μπορεί να επικαλεστεί το εργαλείο κατά το άνοιγμα ενός κακόβουλου εγγράφου Follina
