İnternet, Microsoft Office'te sıfırıncı gün uzaktan kod yürütme hatası haberleriyle dolup taşıyor.

Daha doğrusu, belki de bu, Office dosyaları aracılığıyla yararlanılabilen bir kod yürütme güvenlik açığıdır, ancak bildiğimiz kadarıyla bu güvenlik açığını tetiklemenin veya kötüye kullanmanın başka yolları da olabilir.

Güvenlik araştırmacısı Kevin Beaumont, tedarik etti tamamen keyfi adla Follina, ve henüz resmi bir CVE numarasına sahip olmadığı düşünüldüğünde [2022-05-30T21:00Z], bu ad hem kalıcı hem de kullanışlı bir arama terimi olarak ayarlanmış görünüyor.

(Güncelleştirme. Microsoft tanımlayıcıyı atadı CVE-2022-30190 bu hataya ve yayınlanan bu konuda bir kamu uyarısı [2022-05-22T06:00Z].)

“Follina” adı, bir örnek olduğu gerçeğinden uydurulmuştur. virüslü Word DOC dosyası adıyla geçen Virüs Toplamında 05-2022-0438.doc. sayısal dizi 05-2022 oldukça açık görünüyor (Mayıs 2022), peki ya 0438? Bu sadece kuzeybatı İtalya'da Venedik'ten çok uzak olmayan Follina bölgesinin telefon arama kodu oluyor, bu yüzden Beaumont keyfi bir şaka olarak istismara “Follina” adını uyguladı. Kötü amaçlı yazılımın dünyanın o bölgesinden geldiğine veya gerçekten de bu istismarla herhangi bir İtalyan bağlantısı olduğuna dair hiçbir öneri yok.

Nasıl Çalışır?

Çok gevşek bir şekilde konuşursak, istismar şu şekilde çalışır:

• Bubi tuzaklı bir DOC dosyası açıyorsunuz, belki e-posta yoluyla alındı.
• Belge, normal görünümlü bir https: URL bu indirilir.
• Bu https: URL, bir HTML dosyasına başvuruyor bazı garip görünen JavaScript kodları içerir.
• Bu JavaScript bir URL'ye başvuruyor olağandışı tanımlayıcı ile ms-msdt: yerde içinde https:.
• Windows'ta, ms-msdt: tescilli bir URL türüdür MSDT yazılım araç setini başlatan.
• MSDT kısaltmasıdır için Microsoft Destek Teşhis Aracı.
• MSDT'ye sağlanan komut satırı URL aracılığıyla, güvenilmeyen kod çalıştırmasına neden olur.

Çağrıldığında, kötü niyetli ms-msdt: link MSDT yardımcı programını aşağıdaki gibi komut satırı argümanlarıyla tetikler: msdt /id pcwdiagnostic ....

Başka parametre olmadan elle çalıştırılırsa, bu otomatik olarak MSDT'yi yükler ve Program Uyumluluğu Sorun Giderici, yeterince masum görünen şu şekilde:

Buradan sorun gidermek için bir uygulama seçebilirsiniz; destekle ilgili bir sürü soruyu yanıtlayabilirsiniz; uygulamada çeşitli otomatik testler yapabilirsiniz; ve hala takılırsanız, aynı anda çeşitli sorun giderme verilerini yükleyerek sorunu Microsoft'a bildirmeyi seçebilirsiniz.

Muhtemelen buna atılmayı beklemesen de PCWDiagnostic yardımcı programı yalnızca bir belgeyi açarak, en azından bir dizi açılır iletişim kutusu görür ve yolun her adımında ne yapacağınızı seçersiniz.

Otomatik uzaktan komut dosyası yürütme

Ne yazık ki, “Follina” hilesini keşfeden saldırganlar (ya da daha doğrusu bu numarayı geçen ay çeşitli saldırılarda kullanmış gibi görünen saldırganlar, kendileri bulmasalar bile) başarılı olmuş gibi görünüyor. MSDT komut satırına koymak için bir dizi alışılmadık ama tehlikeli seçenek.

Bu seçenekler, MSDT sorun gidericisinin işini uzaktan kontrol altında yapmasını sağlar.

Nasıl ilerlemek istediğinizi sormak yerine, sahtekarlar sadece işlemin otomatik olarak devam etmesine neden olmakla kalmayan bir dizi parametre hazırladılar (örn. /skip ve /force), aynı zamanda yol boyunca bir PowerShell betiğini çağırmak için.

Daha da kötüsü, bu PowerShell betiğinin zaten diskteki bir dosyada olması gerekmiyor - şifreli kaynak kodu biçiminde sağlanabilir komut satırının kendisinde, kullanılan diğer tüm seçeneklerle birlikte.

Bu durumda, PowerShell, dolandırıcılar tarafından sıkıştırılmış biçimde sağlanan bir kötü amaçlı yazılım yürütülebilir dosyasını ayıklamak ve başlatmak için kullanıldı.

Huntress'teki tehdit araştırmacısı John Hammond, CALC.EXE'yi "bir hesap makinesini açmak" için başlatarak, bilgisayarda halihazırda bulunan herhangi bir yürütülebilir dosyanın açılabileceğini onayladı. doğrudan yüklenmiş Bu hileyle de, bir saldırı, yol boyunca bir PowerShell betiği başlatmanın belki de daha şüpheli yaklaşımına güvenmeden mevcut araçları veya yardımcı programları kullanabilir.

Makro gerekmez

Bu saldırının, dolandırıcıya atıfta bulunan Word tarafından tetiklendiğini unutmayın. ms-msdt: DOC dosyasının kendisinde bulunan bir URL tarafından başvurulan URL.

Yok hayır Uygulamalar için Visual Basic (VBA) Office makroları dahil, bu yüzden bu numara işe yarıyor Office makrolarınız tamamen kapalı olsa bile.

Basitçe söylemek gerekirse, bu, bir tıkla ve tıkla uzaktan kod yürütme istismarına neden olabilecek kötüye kullanılabilir bir güvenlik açığı oluşturmak için yararlı bir MSDT tanılama "özelliği" ile birlikte kullanışlı bir Office URL "özelliği" diyebileceğiniz şeye benziyor.

Başka bir deyişle, bubi tuzaklı bir belgeyi açmak, siz farkında olmadan bilgisayarınıza kötü amaçlı yazılım bulaştırabilir.

Aslında John Hammond, bu numaranın bir oyuna dönüştürülebileceğini yazıyor. daha da doğrudan saldırı, hileli içeriği bir DOC dosyası yerine bir RTF dosyasına paketleyerek. Bu durumda, belgeyi açmak için tıklamaya bile gerek kalmadan, yalnızca Windows Gezgini'nde önizleme yapmanın istismarı tetiklemek için yeterli olduğunu söylüyor. Yalnızca küçük resim önizleme bölmesini oluşturmak, Windows ve Office'i açmak için yeterlidir.

Ne yapalım?

Microsoft'un mülkiyeti kadar kullanışlı ms-xxxx URL'ler, belirli dosya türleri açıldığında veya yalnızca ön izleme yapıldığında süreçleri otomatik olarak başlatmak üzere tasarlanmış olmaları gerçeği açıkça bir güvenlik riski oluşturabilir.

Toplulukta hızla kabul edilen ve o zamandan beri uygulanmakta olan bir geçici çözüm resmen onaylandı Microsoft tarafından, basitçe arasındaki ilişkiyi koparmaktır. ms-msdt: URL'ler ve MSDT yardımcı programı.

Bu demektir ki, ms-msdt: URL'lerin artık özel bir önemi yoktur ve zorlamak için kullanılamaz MSDT.EXE koşmak.

Bu değişikliği sadece kayıt defteri girdisini kaldırarak yapabilirsiniz. HKEY_CLASSES_ROOTms-msdt, varsa. (Orada değilse, bu geçici çözüm tarafından zaten korunuyorsunuz.)

Bir adla biten bir dosya oluşturursanız .REG Bu metni içeren…

Windows Kayıt Defteri Düzenleyicisi Sürüm 5.00 [-HKEY_CLASSES_ROOTms-msdt]

…çift tıklayabilirsiniz .REG (eksi işareti "sil" anlamına gelir) rahatsız edici girdiyi kaldırın.

Ayrıca göz atabilirsiniz HKEY_CLASSES_ROOTms-msdt içinde REGEDIT yardımcı program ve isabet [Delete].

Veya şu komutu çalıştırabilirsiniz: REG DELETE HKCRms-msdt.

Kayıt defterini bu şekilde değiştirmek için yönetici ayrıcalıklarına ihtiyacınız olduğunu unutmayın.

Onsuz yaşayamayacağınızı keşfederseniz ms-msdt URL'ler, eksik kayıt defteri verilerini daha sonra her zaman değiştirebilirsiniz.

yedeklemek için HKEY_CLASSES_ROOTms-msdt kayıt defteri anahtarı, şu komutu kullanın: REG EXPORT HKEY_CLASSES_ROOTms-msdt backup-msdt.reg.

Silinen kayıt defteri anahtarını daha sonra geri yüklemek için şunu kullanın: REG IMPORT backup-msdt.reg.

Sadece kayıt için, hiç görmedik bile ms-msdt Daha önce URL, bir tanesine güvenmek bir yana, bu yüzden kendi Windows bilgisayarımızda bu kayıt defteri ayarını silmekte tereddüt etmedik.

SOPHOS ÜRÜNLERİ BU SALDIRILARI NASIL TESPİT EDİYOR VE BİLDİRİYOR?

• Sophos uç nokta ürünleri, bu istismar yoluyla gerçekleştirilen bilinen saldırıları şu şekilde algılayabilir ve engelleyebilir: Troj/DocDl-AGDX. Bu algılama adını, hem orijinal indirmeyi tetikleyen DOC dosyaları hem de takip eden HTML "ikinci aşama" dosyaları için günlüklerinizi aramak için kullanabilirsiniz.
• Sophos uç nokta ürünleri, bu istismarı tetikleme girişimlerini şu şekilde algılayabilir ve engelleyebilir: Yürütme_39a (T1023). Bu raporlar, programa karşı günlüklerinizde görünecektir. MSDT.EXE Sistem klasöründe.
• Sophos e-posta ve web filtreleme ürünleri, bu tür saldırı dosyalarını şu şekilde engeller: CXmail/OleDl-AG.