21 C
Newyork

Microsoft phát hành Giải pháp thay thế cho 'Một cú nhấp chuột' 0 Ngày bị tấn công chủ động

Ngày:

Các nhà nghiên cứu cho biết các kẻ đe dọa đang khai thác lỗ hổng bảo mật, được gọi là 'Follina' và được xác định ban đầu vào tháng XNUMX, để nhắm mục tiêu vào các tổ chức ở Nga và Tây Tạng, các nhà nghiên cứu cho biết.

Microsoft đã phát hành một giải pháp cho một lỗ hổng zero-day Các nhà nghiên cứu cho biết lần đầu được gắn cờ vào tháng XNUMX và những kẻ tấn công đã sử dụng để nhắm mục tiêu vào các tổ chức ở Nga và Tây Tạng.

Lỗ hổng thực thi điều khiển từ xa (RCE), được theo dõi là CVE-2022-3019, được liên kết với Công cụ chẩn đoán hỗ trợ của Microsoft (MSDT), trớ trêu thay, chính nó lại thu thập thông tin về các lỗi trong sản phẩm của công ty và báo cáo cho Bộ phận hỗ trợ của Microsoft.

Nếu bị khai thác thành công, những kẻ tấn công có thể cài đặt chương trình, xem, thay đổi hoặc xóa dữ liệu hoặc tạo tài khoản mới trong bối cảnh được quyền của người dùng cho phép, công ty cho biết.Bản tin Người dùng nội bộ Infosec

“Một lỗ hổng thực thi mã từ xa tồn tại khi MSDT được gọi bằng giao thức URL từ một ứng dụng gọi điện như Word,” Microsoft giải thích trong hướng dẫn của nó trên Trung tâm phản hồi bảo mật của Microsoft. “Kẻ tấn công khai thác thành công lỗ hổng này có thể chạy mã tùy ý với các đặc quyền của ứng dụng gọi điện.”

Cách giải quyết của Microsoft được đưa ra khoảng sáu tuần sau khi lỗ hổng bảo mật được xác định lần đầu tiên. Các nhà nghiên cứu từ Nhóm Shadow Chaser nhận thấy nó vào ngày 12 tháng XNUMX trong luận văn cử nhân từ tháng 2020 năm XNUMX—Với những kẻ tấn công rõ ràng đang nhắm mục tiêu người dùng Nga – và đã báo cáo cho Microsoft vào ngày 21 tháng XNUMX, theo công ty nghiên cứu Recorded Future's Kỷ lục.

Một nhà phân tích Malwarebytes Threat Intelligence cũng đã phát hiện ra lỗ hổng này vào tháng XNUMX nhưng không thể xác định đầy đủ, công ty cho biết trong một bài đăng trên Twitter vào cuối tuần, đăng lại bài gốc về lỗ hổng bảo mật, cũng được đưa ra vào ngày 12 tháng XNUMX, từ @ h2jazi.

Khi lỗ hổng được báo cáo, Microsoft không coi đó là một vấn đề. Rõ ràng là công ty đã sai và lỗ hổng bảo mật một lần nữa thu hút sự chú ý của các nhà nghiên cứu tại nhà cung cấp bảo mật Nhật Bản Nao Sec, người đã tweet một cảnh báo mới về nó vào cuối tuần qua, lưu ý rằng nó đã được sử dụng để nhắm mục tiêu người dùng ở Belarus.

Trong phân tích cuối tuần qua, nhà nghiên cứu bảo mật Kevin Beaumont đã lưu ý được mệnh danh là lỗ hổng “Follina”, giải thích mã zero-day tham chiếu đến mã vùng Follina - 0438 có trụ sở tại Ý.

Giải pháp hiện tại

Mặc dù chưa có bản vá nào cho lỗ hổng này, nhưng Microsoft khuyến cáo người dùng bị ảnh hưởng nên vô hiệu hóa URL MSDT để giảm thiểu nó ngay bây giờ. Điều này “ngăn chặn việc khởi chạy trình khắc phục sự cố dưới dạng các liên kết bao gồm các liên kết trong toàn bộ hệ điều hành,” công ty viết trong lời khuyên của họ.

Để thực hiện việc này, người dùng phải làm theo các bước sau: Run “:Command Prompt với tư cách là Quản trị viên"; Sao lưu khóa đăng ký bằng cách thực hiện lệnh “reg export HKEY_CLASSES_ROOTms-msdt tên tập tin“; và thực hiện lệnh “reg delete HKEY_CLASSES_ROOTms-msdt / f”.

“Vẫn có thể truy cập trình khắc phục sự cố bằng cách sử dụng Nhận ứng dụng trợ giúp và trong cài đặt hệ thống với tư cách là trình khắc phục sự cố khác hoặc bổ sung, ”công ty cho biết.

Hơn nữa, nếu ứng dụng gọi điện là ứng dụng Office thì theo mặc định, Office sẽ mở tài liệu từ internet trong Chế độ xem được bảo vệ và Ứng dụng bảo vệ cho Office, “cả hai đều ngăn chặn cuộc tấn công hiện tại”, Microsoft cho biết. Tuy nhiên, Beaumont đã bác bỏ sự đảm bảo đó trong phân tích của mình về lỗi này.

Microsoft cũng có kế hoạch cập nhật CVE-2022-3019 với thông tin thêm nhưng không nêu rõ khi nào hãng sẽ cập nhật, theo lời khuyên.

Nguy cơ đáng kể

Trong khi đó, lỗ hổng chưa được vá có nguy cơ đáng kể vì một số lý do, Beaumont và các nhà nghiên cứu khác lưu ý.

Một là nó ảnh hưởng đến nhiều người dùng như vậy, vì nó tồn tại trong tất cả các phiên bản Windows hiện được hỗ trợ và có thể được khai thác thông qua các phiên bản Microsoft Office 2013 đến Office 2019, Office 2021, Office 365 và Office ProPlus.

“Mọi tổ chức đang xử lý nội dung, tệp và đặc biệt là tài liệu Office, về cơ bản là tất cả mọi người trên toàn cầu, hiện đang phải đối mặt với mối đe dọa này,” Aviv Grafi, CTO và người sáng lập công ty bảo mật Votiro, đã viết trong e-mail tới Threatpost.

Cả Beaumont và Grafi đều cho biết một lý do khác khiến lỗ hổng này gây ra mối đe dọa lớn là việc thực thi mà không có hành động từ người dùng cuối. Sau khi HTML được tải từ ứng dụng gọi, một lược đồ MSDT được sử dụng để thực thi mã PowerShell nhằm chạy một tải trọng độc hại, Grafi giải thích.

Beaumont cho biết, vì lỗ hổng đang lạm dụng tính năng mẫu từ xa trong Microsoft Word, nên nó không phụ thuộc vào đường dẫn khai thác dựa trên macro điển hình, vốn thường gặp trong các cuộc tấn công dựa trên Office.

“Điều làm cho lỗ hổng này rất khó tránh là thực tế là người dùng cuối không phải bật macro để mã thực thi, khiến nó trở thành kỹ thuật thực thi mã từ xa 'không nhấp chuột' được sử dụng thông qua MSDT," Grafi đồng tình.

Đang tấn công chủ động

Claire Tills, kỹ sư nghiên cứu cấp cao của công ty bảo mật Tenable, đã so sánh lỗ hổng này với lần không nhấp chuột vào năm ngoái Lỗi MSHTML, theo dõi là CVE-2021-40444, bị tấn công bởi những kẻ tấn công, bao gồm Băng đảng ransomware Ryuk.

“Do những điểm tương đồng giữa CVE-2022-30190 và CVE-2021-40444 và các nhà nghiên cứu suy đoán rằng các trình xử lý giao thức khác cũng có thể dễ bị tấn công, chúng tôi mong đợi sẽ thấy những phát triển và nỗ lực khai thác thêm về vấn đề này,” cô viết trong e-mail đến Threatpost.

Thật vậy, các tác nhân đe dọa đã tấn công vào lỗ hổng bảo mật. Vào thứ Hai, Proofpoint Threat Insight cũng tweeted rằng những kẻ đe dọa đã sử dụng lỗ hổng để nhắm mục tiêu vào các tổ chức ở Tây Tạng bằng cách mạo danh "Bàn trao quyền cho phụ nữ" của Cơ quan quản lý Trung ương Tây Tạng.

Hơn nữa, cách giải quyết mà Microsoft hiện đang cung cấp có vấn đề và sẽ không cung cấp nhiều giải pháp khắc phục trong thời gian dài, đặc biệt là với lỗi đang bị tấn công, Grafi nói. Ông cho biết cách giải quyết này "không thân thiện với quản trị viên" vì nó liên quan đến "những thay đổi trong Sổ đăng ký của các điểm cuối của người dùng cuối."

  • Coinsmart. Sàn giao dịch Bitcoin và tiền điện tử tốt nhất Châu Âu.Bấm vào đây
  • Platoblockchain. Web3 Metaverse Intelligence. Khuếch đại kiến ​​thức. Truy cập Tại đây.
  • nguồn: https://threatpost.com/microsoft-workaround-0day-attack/179776/

Các bài liên quan

spot_img

Bài viết gần đây

spot_img