[tdb_mobile_menu menu_id="81451" el_class="plato-left-menu" icon_size="eyJhbGwiOjUwLCJwaG9uZSI6IjMwIn0=" icon_padding="eyJhbGwiOjAuNSwicGhvbmUiOiIxLjUifQ==" tdc_css="eyJhbGwiOnsibWFyZ2luLXRvcCI6IjEwIiwibWFyZ2luLWJvdHRvbSI6IjAiLCJtYXJnaW4tbGVmdCI6IjE1IiwiZGlzcGxheSI6IiJ9LCJwaG9uZSI6eyJtYXJnaW4tdG9wIjoiMCIsIm1hcmdpbi1sZWZ0IjoiMCIsImRpc3BsYXkiOiIifSwicGhvbmVfbWF4X3dpZHRoIjo3Njd9" align_horiz="content-horiz-center" inline="yes" icon_color="#ffffff" icon_color_h="#ffffff"][tdb_header_logo align_vert="content-vert-center" url="https://zephyrnet.com" inline="yes" text="Zephyrnet" image_width="eyJwaG9uZSI6IjM1In0=" img_txt_space="eyJwaG9uZSI6IjEwIn0=" f_text_font_size="eyJwaG9uZSI6IjE4In0=" f_text_font_line_height="eyJwaG9uZSI6IjEuNSJ9" f_text_font_weight="eyJwaG9uZSI6IjcwMCJ9" f_text_font_transform="eyJwaG9uZSI6ImNhcGl0YWxpemUifQ==" f_text_font_family="eyJwaG9uZSI6ImZzXzIifQ==" text_color="#ffffff" text_color_h="var(--accent-color)"]
[tdb_mobile_horiz_menu menu_id="1658" single_line="yes" f_elem_font_family="eyJwaG9uZSI6ImZzXzIifQ==" f_elem_font_weight="eyJwaG9uZSI6IjcwMCJ9" text_color="var(--news-hub-white)" text_color_h="var(--news-hub-accent-hover)" f_elem_font_size="eyJwaG9uZSI6IjE0In0=" f_elem_font_line_height="eyJwaG9uZSI6IjQ4cHgifQ==" elem_padd="eyJwaG9uZSI6IjAgMTVweCJ9" tdc_css="eyJwaG9uZSI6eyJwYWRkaW5nLXJpZ2h0IjoiNSIsInBhZGRpbmctbGVmdCI6IjUiLCJkaXNwbGF5Ijoibm9uZSJ9LCJwaG9uZV9tYXhfd2lkdGgiOjc2N30="]
[tdb_mobile_menu inline="yes" menu_id="81451" el_class="plato-left-menu" icon_size="50" icon_padding="0.5" tdc_css="eyJhbGwiOnsibWFyZ2luLXRvcCI6IjEwIiwibWFyZ2luLWJvdHRvbSI6IjAiLCJtYXJnaW4tbGVmdCI6IjE1IiwiZGlzcGxheSI6IiJ9fQ==" icon_color="#ffffff" icon_color_h="#ffffff" ]
Zephyrnet-logo

Generatieve data-intelligentie

[tdb_header_menu main_sub_tdicon="td-icon-down" sub_tdicon="td-icon-right-arrow" mm_align_horiz="content-horiz-center" modules_on_row_regular="20%" modules_on_row_cats="20%" image_size="td_300x0" modules_category= "image" show_excerpt="none" show_com="none" show_date="" show_author="none" mm_sub_align_horiz="content-horiz-right" mm_elem_align_horiz="content-horiz-center" menu_id="81450" show_mega_cats="yes" align_horiz="content-horiz-center" elem_padd="0 30px" main_sub_icon_space="12" mm_width="1192" mm_padd="30px 25px" mm_align_screen="yes" mm_sub_padd="20px 25px 0" mm_sub_border="1px 0 0" mm_elem_space="25" mm_elem_padd="0" mm_elem_border="0" mm_elem_border_a="0" mm_elem_border_rad="0" mc1_title_tag="h2" modules_gap="25" excl_txt="Premium" excl_margin="0 6px 0 0" excl_padd= "2px 5px 2px 4px" excl_bg="var(--news-hub-accent)" f_excl_font_size="12" f_excl_font_weight="700" f_excl_font_transform="uppercase" meta_padding="20px 0 0" art_title="0 0 10px" show_cat ="geen" show_pagination="uitgeschakeld led" text_color="var(--news-hub-white)" tds_menu_active1-line_color="var(--news-hub-accent)" f_elem_font_size="18" f_elem_font_line_height="64px" f_elem_font_weight="400" f_elem_font_transform=" geen" mm_bg="var(-news-hub-donkergrijs)" mm_border_color="var(-news-hub-accent)" mm_subcats_border_color="#444444" mm_elem_color="var(-news-hub-wit )" mm_elem_color_a="var(-news-hub-accent-hover)" f_mm_sub_font_size="14" title_txt="var(-news-hub-wit)" title_txt_hover="var(-news-hub-accent- hover)" date_txt="var(--news-hub-light-grey)" f_title_font_line_height="1.25" f_title_font_weight="700" f_meta_font_line_height="1.3" f_meta_font_family="fs_2" tdc_css="eyJhbGwiOnsiYm9yZGVyLXRvcC13aWR0aCI6IjEiLCJib3JkZXItcmlnaHQtd2lkdGgiOiIxIiwiYm9yZGVyLWJvdHRvbS13aWR0aCI6IjEiLCJib3JkZXItbGVmdC13aWR0aCI6IjEiLCJib3JkZXItY29sb3IiOiJ2YXIoLS1uZXdzLWh1Yi1kYXJrLWdyZXkpIiwiZGlzcGxheSI6IiJ9fQ==" mm_border_size="4px 0 0" f_elem_font_family="fs_2" mm_subcats_bg="var(--nieuws-hub-donkergrijs)" mm_elem_bg="rgba(0,0,0,0) " mm_elem_bg_a="rgba(0,0,0,0)" f_mm_sub_font_family="fs_2" mm_child_cats="10" mm_sub_inline="yes" mm_subcats_posts_limit="5"]
Home Cyber ​​Security Mysterieus “Follina” zero-day gat in Office – dit is wat je moet doen!

Mysterieus “Follina” zero-day gat in Office – dit is wat je moet doen!

-
0

by
Paul Ducklin

Het internet bruist van het nieuws over een zero-day remote code-uitvoeringsbug in Microsoft Office.

Om preciezer te zijn, misschien is het een beveiligingslek voor het uitvoeren van code dat kan worden misbruikt door middel van Office-bestanden, hoewel er voor zover we weten mogelijk andere manieren zijn om dit beveiligingslek te activeren of te misbruiken.

Beveiligingsonderzoeker Kevin Beaumont heeft: leverde het met de geheel willekeurige naam Follina, en aangezien het nog geen officieel CVE-nummer lijkt te hebben [2022-05-30T21:00Z], lijkt die naam zowel te blijven hangen als een nuttige zoekterm te zijn.

(Update. Microsoft heeft de identifier toegewezen CVE-2022-30190 aan deze bug, en gepubliceerde een openbaar advies hierover [2022-05-22T06:00Z].)

De naam "Follina" is bedacht uit het feit dat er een monster is geïnfecteerd Word DOC-bestand op Virus Total dat bij de naam hoort 05-2022-0438.doc. De numerieke reeks 05-2022 lijkt vrij voor de hand liggend (mei 2022), maar hoe zit het met? 0438? Dit is toevallig het netnummer van de telefoon voor het gebied van Follina, niet ver van Venetië in Noordwest-Italië, dus Beaumont paste de naam "Follina" toe aan de exploit als een willekeurige grap. Er is geen suggestie dat de malware uit dat deel van de wereld kwam, of dat er zelfs maar enige Italiaanse connectie is met deze exploit.

Hoe werkt het?

Heel losjes gesproken werkt de exploit als volgt:

  • U opent een DOC-bestand met boobytraps, misschien via e-mail ontvangen.
  • Het document verwijst naar een normaal ogende https: URL dat wordt gedownload.
  • Deze https: URL verwijst naar een HTML-bestand die een vreemd uitziende JavaScript-code bevat.
  • Dat JavaScript verwijst naar een URL met de ongebruikelijke identifier ms-msdt: in plaats van https:.
  • Op Windows, ms-msdt: is een eigen URL-type waarmee de MSDT-softwaretoolkit wordt gestart.
  • MSDT is een afkorting For Microsoft Support Diagnostic Tool.
  • De opdrachtregel geleverd aan MSDT via de URL zorgt ervoor dat het niet-vertrouwde code uitvoert.

Wanneer aangeroepen, de kwaadaardige ms-msdt: link activeert het MSDT-hulpprogramma met opdrachtregelargumenten zoals deze: msdt /id pcwdiagnostic ....

Als dit met de hand wordt uitgevoerd, zonder andere parameters, wordt MSDT automatisch geladen en wordt de Probleemoplosser voor programmacompatibiliteit, die er onschuldig genoeg uitziet, als volgt:

Vanaf hier kunt u een app kiezen om problemen op te lossen; je kunt een heleboel ondersteuningsvragen beantwoorden; je kunt verschillende geautomatiseerde tests uitvoeren op de app; en als je nog steeds vastzit, kun je ervoor kiezen om het probleem aan Microsoft te melden en tegelijkertijd verschillende probleemoplossingsgegevens te uploaden.

Hoewel je waarschijnlijk niet zou verwachten dat je hierin wordt gegooid PCWDiagnostic door gewoon een document te openen, ziet u op zijn minst een reeks pop-upvensters en kunt u bij elke stap kiezen wat u wilt doen.

Automatische uitvoering van scripts op afstand

Helaas lijkt het erop dat de aanvallers die de "Follina"-truc hebben ontdekt (of beter gezegd, de aanvallers die deze truc de afgelopen maand bij verschillende aanvallen lijken te hebben gebruikt, ook al zijn ze er zelf niet achtergekomen) erin geslaagd zijn een reeks ongebruikelijke maar verraderlijke opties om op de MSDT-opdrachtregel te plaatsen.

Deze opties zorgen ervoor dat de MSDT-probleemoplosser zijn werk op afstand kan doen.

In plaats van te worden gevraagd hoe je verder wilt gaan, hebben de boeven een reeks parameters gemaakt die er niet alleen voor zorgen dat de operatie automatisch verloopt (bijv. /skip en /force), maar ook om onderweg een PowerShell-script aan te roepen.

Erger nog, dit PowerShell-script hoeft niet al in een bestand op schijf te staan ​​- het kan worden geleverd in vervormde broncodevorm direct op de opdrachtregel zelf, samen met alle andere gebruikte opties.

In dit geval werd de PowerShell gebruikt om een ​​uitvoerbaar malwarebestand te extraheren en te starten dat door de boeven in gecomprimeerde vorm werd geleverd.

Threat-onderzoeker John Hammond van Huntress heeft bevestigd, door CALC.EXE te starten om "een rekenmachine te laten knallen", dat elk uitvoerbaar bestand dat al op de computer staat kan worden direct geladen ook door deze truc, zodat een aanval bestaande tools of hulpprogramma's kan gebruiken, zonder afhankelijk te zijn van de misschien meer verdachte benadering van het starten van een PowerShell-script onderweg.

Geen macro's nodig

Merk op dat deze aanval wordt geactiveerd door Word die verwijst naar de bedrieger ms-msdt: URL waarnaar wordt verwezen door een URL die is opgenomen in het DOC-bestand zelf.

Nee Visual Basic voor toepassingen (VBA) Er zijn kantoormacro's bij betrokken, dus deze truc werkt zelfs als u Office-macro's volledig hebt uitgeschakeld.

Simpel gezegd, dit ziet eruit als wat je een handige Office-URL "functie" zou kunnen noemen, gecombineerd met een handige MSDT diagnostische "functie", om een ​​misbruikbaar beveiligingslek te produceren dat een klik-en-krijg-hit-exploitatie van externe code kan veroorzaken.

Met andere woorden, het openen van een document met boobytraps kan malware op uw computer afleveren zonder dat u het door hebt.

John Hammond schrijft zelfs dat deze truc kan worden omgezet in een... nog directere aanval, door de frauduleuze inhoud in een RTF-bestand te verpakken in plaats van een DOC-bestand. In dit geval, zegt hij, is een voorbeeld van het document in Windows Verkenner voldoende om de exploit te activeren, zonder zelfs maar te klikken om het te openen. Alleen het weergeven van het voorbeeldvenster met miniatuurweergaven is voldoende om Windows en Office op te heffen.

Wat te doen?

Net zo handig als Microsoft's propriëtaire ms-xxxx URL's kunnen zijn, het feit dat ze zijn ontworpen om processen automatisch te starten wanneer specifieke soorten bestanden worden geopend, of zelfs alleen als voorbeeld worden bekeken, is duidelijk een beveiligingsrisico.

Een tijdelijke oplossing waarover snel overeenstemming werd bereikt in de gemeenschap, en dat sindsdien ook is gebeurd officieel goedgekeurd door Microsoft, is gewoon om de relatie tussen te verbreken ms-msdt: URL's en het MSDT-hulpprogramma.

Dit betekent dat ms-msdt: URL's hebben geen speciale betekenis meer en kunnen niet worden gebruikt om te forceren MSDT.EXE rennen.

U kunt deze wijziging eenvoudig aanbrengen door de registervermelding te verwijderen HKEY_CLASSES_ROOTms-msdt, als het bestaat. (Als het er niet is, bent u al beschermd door deze tijdelijke oplossing.)

Als u een bestand maakt met een naam die eindigt .REG die deze tekst bevat...

Windows Register-editor versie 5.00 [-HKEY_CLASSES_ROOTms-msdt]

...u kunt dubbelklikken op de .REG bestand om het betreffende item te verwijderen (het minteken betekent "verwijderen").

U kunt ook bladeren naar HKEY_CLASSES_ROOTms-msdt in de REGEDIT hulpprogramma en hit [Delete].

Of u kunt de opdracht uitvoeren: REG DELETE HKCRms-msdt.

Merk op dat u beheerdersrechten nodig heeft om het register op deze manier te wijzigen.

Als je ontdekt dat je gewoon niet zonder kunt ms-msdt URL's, kunt u de ontbrekende registergegevens later altijd vervangen.

Om een ​​back-up te maken van de HKEY_CLASSES_ROOTms-msdt registersleutel, gebruik de opdracht: REG EXPORT HKEY_CLASSES_ROOTms-msdt backup-msdt.reg.

Om de verwijderde registersleutel later te herstellen, gebruikt u: REG IMPORT backup-msdt.reg.

Even voor de goede orde, we hebben nog nooit een ms-msdt URL eerder, laat staan ​​dat we er op vertrouwden, dus we aarzelden niet om deze registerinstelling op onze eigen Windows-computer te verwijderen.

De "voor"-status van de HKCRms-msdt-registervermelding,
voor het geval u het moet reconstrueren nadat u het hebt verwijderd.

HOE SOPHOS-PRODUCTEN DEZE AANVALLEN Detecteren EN RAPPORTEREN?

  • Sophos-eindpuntproducten kunnen bekende aanvallen via deze exploit detecteren en blokkeren Troj/DocDl-AGDX. U kunt deze detectienaam gebruiken om in uw logboeken te zoeken naar DOC-bestanden die de oorspronkelijke download activeren, en naar HTML-bestanden van de tweede fase die volgen.
  • Sophos-eindpuntproducten kunnen pogingen om deze exploit te activeren detecteren en blokkeren als Exec_39a (T1023). Deze rapporten verschijnen in uw logboeken tegen het programma MSDT.EXE in de systeemmap.
  • Sophos-producten voor e-mail en webfiltering onderscheppen dit soort aanvalsbestanden als: CXmail/OleDl-AG.
[tdb_header_logo align_vert="content-vert-center" icon_color="var(--news-hub-white)" text_color="var(--news-hub-white)" text_color_h="var(--news-hub-white)" tagline_pos="inline" f_text_font_family="fs_2" f_tagline_font_family="fs_2" f_text_font_weight="700" f_tagline_font_weight="700" f_text_font_size="eyJhbGwiOiIyNCIsImxhbmRzY2FwZSI6IjE2IiwicG9ydHJhaXQiOiIxNSIsInBob25lIjoiMTYifQ==" f_tagline_font_size="eyJhbGwiOiIyNCIsImxhbmRzY2FwZSI6IjE2IiwicG9ydHJhaXQiOiIxNSIsInBob25lIjoiMTYifQ==" f_text_font_line_height="1.5" f_tagline_font_line_height="1.5" tagline_color="var(--news-hub-light-grey)" tagline_color_h="var(--news-hub-light-grey)" icon_size="eyJhbGwiOiIyOCIsImxhbmRzY2FwZSI6IjI2IiwicG9ydHJhaXQiOiIyMyIsInBob25lIjoiMjYifQ==" icon_align="-1" icon_space="eyJhbGwiOiI2IiwibGFuZHNjYXBlIjoiNSIsInBvcnRyYWl0IjoiNCIsInBob25lIjoiNSJ9" tdc_css="eyJwaG9uZSI6eyJtYXJnaW4tYm90dG9tIjoiMTUiLCJkaXNwbGF5IjoiIn0sInBob25lX21heF93aWR0aCI6NzY3LCJhbGwiOnsibWFyZ2luLWJvdHRvbSI6IjIwIiwiZGlzcGxheSI6IiJ9LCJsYW5kc2NhcGUiOnsibWFyZ2luLWJvdHRvbSI6IjE4IiwiZGlzcGxheSI6IiJ9LCJsYW5kc2NhcGVfbWF4X3dpZHRoIjoxMTQwLCJsYW5kc2NhcGVfbWluX3dpZHRoIjoxMDE5LCJwb3J0cmFpdCI6eyJtYXJnaW4tYm90dG9tIjoiMTQiLCJkaXNwbGF5IjoiIn0sInBvcnRyYWl0X21heF93aWR0aCI6MTAxOCwicG9ydHJhaXRfbWluX3dpZHRoIjo3Njh9" disable_h1="yes" show_icon="none" media_size_image_height="200" media_size_image_width="200" image_width="30" img_txt_space="6" image="1293497" text="Zephyrnet"]

Copyright @ 2024 Plato Technologies Inc.

Chat met ons

Hallo daar! Hoe kan ik u helpen?