Microsoft đã phát hành một giải pháp thay thế cho một lỗ hổng zero-day các nhà nghiên cứu cho biết ban đầu nó được gắn cờ vào tháng 4 và những kẻ tấn công đã sử dụng để nhắm mục tiêu vào các tổ chức ở Nga và Tây Tạng.

Lỗ hổng thực thi điều khiển từ xa (RCE), được theo dõi dưới dạng CVE-2022-3019, được liên kết với Công cụ chẩn đoán hỗ trợ của Microsoft (MSDT), trớ trêu thay, công cụ này lại thu thập thông tin về các lỗi trong sản phẩm của công ty và báo cáo cho Bộ phận hỗ trợ của Microsoft.

Công ty cho biết, nếu khai thác thành công, kẻ tấn công có thể cài đặt chương trình, xem, thay đổi hoặc xóa dữ liệu hoặc tạo tài khoản mới trong bối cảnh được quyền của người dùng cho phép.

“Một lỗ hổng thực thi mã từ xa tồn tại khi MSDT được gọi bằng giao thức URL từ một ứng dụng gọi điện như Word,” Microsoft giải thích trong hướng dẫn của nó trên Trung tâm phản hồi bảo mật của Microsoft. “Kẻ tấn công khai thác thành công lỗ hổng này có thể chạy mã tùy ý với các đặc quyền của ứng dụng gọi điện.”

Cách giải quyết của Microsoft được đưa ra khoảng sáu tuần sau khi lỗ hổng bảo mật được xác định lần đầu tiên. Các nhà nghiên cứu từ Nhóm Shadow Chaser nhận thấy nó vào ngày 12 tháng XNUMX năm luận án cử nhân từ tháng 2020 năm XNUMX—với những kẻ tấn công dường như nhắm mục tiêu vào người dùng Nga—và đã báo cáo cho Microsoft vào ngày 21 tháng XNUMX, theo công ty nghiên cứu Recorded Future's Kỷ lục.

Công ty cho biết một nhà phân tích của Malwarebytes Threat Intelligence cũng đã phát hiện ra lỗ hổng này vào tháng 4 nhưng không thể xác định đầy đủ về nó. trong một bài đăng trên Twitter cuối tuần qua, tweet lại bài gốc về lỗ hổng này, cũng được đưa ra vào ngày 12 tháng XNUMX, từ @ h2jazi.

Khi lỗ hổng được báo cáo, Microsoft không coi đó là một vấn đề. Rõ ràng là công ty đã sai và lỗ hổng này một lần nữa thu hút sự chú ý của các nhà nghiên cứu tại nhà cung cấp bảo mật Nhật Bản Nao Sec. đã tweet một cảnh báo mới về nó vào cuối tuần, lưu ý rằng nó đang được sử dụng để nhắm mục tiêu đến người dùng ở Belarus.

Trong phân tích cuối tuần qua, nhà nghiên cứu bảo mật Kevin Beaumont lưu ý được mệnh danh là lỗ hổng “Follina,” giải thích mã 0438 ngày tham chiếu đến mã vùng Follina có trụ sở tại Ý – XNUMX.

Cách giải quyết hiện tại

Mặc dù chưa có bản vá nào cho lỗ hổng này nhưng Microsoft khuyến nghị người dùng bị ảnh hưởng nên vô hiệu hóa URL MSDT để giảm thiểu lỗ hổng ngay bây giờ. Công ty viết trong lời khuyên của họ rằng điều này “ngăn chặn các trình khắc phục sự cố được khởi chạy dưới dạng các liên kết bao gồm các liên kết trên toàn hệ điều hành”.

Để thực hiện việc này, người dùng phải làm theo các bước sau: Chạy “:Command Prompt với tư cách là Quản trị viên"; Sao lưu khóa đăng ký bằng cách thực hiện lệnh “reg xuất HKEY_CLASSES_ROOTms-msdt tên tập tin“; và thực hiện lệnh “reg xóa HKEY_CLASSES_ROOTms-msdt /f”.

“Người khắc phục sự cố vẫn có thể được truy cập bằng cách sử dụng Nhận ứng dụng Trợ giúp và trong cài đặt hệ thống như các trình khắc phục sự cố khác hoặc bổ sung,” công ty cho biết.

Hơn nữa, nếu ứng dụng gọi điện là một ứng dụng Office thì theo mặc định, Office sẽ mở tài liệu từ internet trong Chế độ xem được bảo vệ và Bảo vệ ứng dụng cho Office, “cả hai đều ngăn chặn cuộc tấn công hiện tại”, Microsoft cho biết. Tuy nhiên, Beaumont đã bác bỏ sự đảm bảo đó trong phân tích về lỗi của mình.

Theo tư vấn, Microsoft cũng có kế hoạch cập nhật CVE-2022-3019 với nhiều thông tin hơn nhưng không nêu rõ thời điểm thực hiện.

Nguy cơ đáng kể

Trong khi đó, lỗ hổng chưa được vá có nguy cơ đáng kể vì một số lý do, Beaumont và các nhà nghiên cứu khác lưu ý.

Một là nó ảnh hưởng đến rất nhiều người dùng, vì nó tồn tại trong tất cả các phiên bản Windows hiện được hỗ trợ và có thể bị khai thác thông qua các phiên bản Microsoft Office 2013 đến Office 2019, Office 2021, Office 365 và Office ProPlus.

“Mọi tổ chức đang xử lý nội dung, tệp và đặc biệt là tài liệu Office, về cơ bản là tất cả mọi người trên toàn cầu, hiện đều phải đối mặt với mối đe dọa này,” Aviv Grafi, CTO và người sáng lập công ty bảo mật Votiro, đã viết trong một e-mail tới Threatpost.

Cả Beaumont và Grafi đều cho biết một lý do khác khiến lỗ hổng này gây ra mối đe dọa lớn là việc nó được thực thi mà không có hành động nào từ người dùng cuối. Grafi giải thích: Sau khi HTML được tải từ ứng dụng gọi điện, sơ đồ MSDT sẽ được sử dụng để thực thi mã PowerShell nhằm chạy tải trọng độc hại.

Beaumont cho biết, do lỗ hổng này lạm dụng tính năng mẫu từ xa trong Microsoft Word nên nó không phụ thuộc vào đường dẫn khai thác dựa trên macro điển hình, thường thấy trong các cuộc tấn công dựa trên Office.

“Điều khiến lỗ hổng này khó tránh là do người dùng cuối không phải kích hoạt macro để mã thực thi, khiến nó trở thành kỹ thuật thực thi mã từ xa 'không cần nhấp chuột' được sử dụng thông qua MSDT,” Grafi đồng tình.

Đang tấn công chủ động

Claire Tills, kỹ sư nghiên cứu cấp cao của công ty bảo mật Tenable, đã so sánh lỗ hổng này với lỗi zero-click năm ngoái. lỗi MSHTML, theo dõi như CVE-2021-40444, đã bị tấn công bởi những kẻ tấn công, bao gồm cả Băng đảng ransomware Ryuk.

“Với những điểm tương đồng giữa CVE-2022-30190 và CVE-2021-40444, đồng thời các nhà nghiên cứu suy đoán các trình xử lý giao thức khác cũng có thể dễ bị tấn công, chúng tôi hy vọng sẽ thấy những phát triển và nỗ lực khai thác tiếp theo của vấn đề này,” cô viết trong e-mail tới Đe dọa.

Thật vậy, những kẻ đe dọa đã tấn công vào lỗ hổng này. Vào thứ Hai, Proofpoint Threat Insight cũng tweeted rằng những kẻ đe dọa đang sử dụng lỗ hổng này để nhắm mục tiêu vào các tổ chức ở Tây Tạng bằng cách mạo danh “Bàn trao quyền cho phụ nữ” của Chính quyền Trung ương Tây Tạng.

Hơn nữa, giải pháp thay thế mà Microsoft hiện đưa ra có nhiều vấn đề và sẽ không cung cấp nhiều giải pháp khắc phục về lâu dài, đặc biệt là với lỗi đang bị tấn công, Grafi cho biết. Ông cho biết cách giải quyết này “không thân thiện với quản trị viên” vì nó liên quan đến “những thay đổi trong Sổ đăng ký điểm cuối của người dùng cuối”.