شنبه 29 مرداد 1401   07:13:37
 

هشدار درباره آسیب‌پذیری جدید «روز-صفر» در Office






محققان امنیت سایبری، آسیب‌پذیری جدیدی از نوع «روز-صفر» را در Microsoft Office شناسایی کرده‌اند که می‌تواند جهت «اجرای کد از راه دور» (Arbitrary Code Execution) در سیستم‌های آسیب‌پذیر Windows مورد سوء‌استفاده قرار گیرد.

این آسیب‌پذیری پس از آن آشکار شد که یک تیم تحقیقاتی مستقل امنیتی به نام nao_sec، یک فایل Word تحت عنوان (l۰۵-۲۰۲۲-۰۴۳۸.doc) را که از یک نشانی IP در کشور بلاروس در سایت VirusTotal بارگذاری شده بود، کشف کردند. سایت VirusTotal هر فایل ارسالی از سوی کاربران را در تمامی ضدویروس‌های موجود بررسی کرده و گزارش شناسایی یا عدم شناسایی آن‌ها را در اختیار کاربر قرار می‌دهد. گزارش پویش فایل مذکور در سایت VirusTotal در نشانی زیر قابل مشاهده می‌باشد.

https://www.virustotal.com/gui/file/4a24048f81afbe9fb62e7a6a49adbd1faf41f266b5f9feecdceb567aec096784/detection

این فایل Word از امکان External Link در نرم‌افزار Word جهت بارگذاری HTML و سپس از ابزار «ms-msdt» برای اجرای کد PowerShell استفاده می‌کند.               

ابزار تشخیص و پشتیبانی مایکروسافت (Microsoft Support Diagnostic Tool – به اختصار MSDT )، اطلاعاتی را برای ارسال به بخش پشتیبانی مایکروسافت جمع آوری می‌کند. سپس پشتیبانی مایکروسافت این اطلاعات را تحلیل نموده و از آن برای تعیین راه‌حل مشکلاتی که ممکن است در کامپیوتر رخ داده باشد، استفاده می‌کند.

به گفته کارشناس امنیتی که این ضعف امنیتی را «Follina» نامیده‌، فایل مخرب با استفاده از ویژگی Remote Template، یک فایل HTML را از یک سرور دریافت کرده و سپس از ابزار MSDT برای اجرای آن استفاده می‌کند.

علت نامگذاری این آسیب‌پذیری به «Follina» این است که در نمونه فایل مخرب به عدد ۰۴۳۸ اشاره شده که پیش شماره منطقه «Follina»، در شهر ترویزو ایتالیا (Treviso) است.

مشکل اصلی این ضعف امنیتی از آنجا ناشی می‌شود که Microsoft Word این کد را از طریق یک ابزار پشتیبانی معتبر (msdt) اجرا می‌کند لذا برای اجرای کدهای مخرب حتی به فعال بودن امکانات ماکروها در نرم‌افزار Word نیز نیازی نیست.

اگرچه ویژگی نمایش محافظت شده (Protected View) در Microsoft Office، اساساً جهت اخطار دادن درخصوص فایل‌های بالقوه ناامن طراحی شده و فعالسازی آن به کاربران در مورد احتمال وجود یک فایل مخرب هشدار می‌دهد، با این حال، این هشدار را می‌توان با تغییر قالب فایل به یک فایل با قالب RTFا (Rich Text Format) به راحتی دور زد. با انجام این کار، کد مخرب مبهم‌سازی شده، می‌تواند حتی بدون باز شدن فایل و تنها از طریق گزینه Preview در مرورگر Windows اجرا شود.

محققان شرکت امنیت سایبری Huntress Labs نیز در تحلیل جداگانه‌‌ای به این نکته پی بردند که فایل HTML به نام (RDF842l.html)، که نقطه شروع سوءاستفاده از این ضعف‌امنیتی است از دامنه‌ای به نام «xmlformats[.]com» دریافت می شود. البته این دامنه اکنون دیگر در دسترس نمی‌باشد.

یک فایل با قالب RTF می‌تواند این بهره‌جو (Exploit) را بدون هیچ گونه تعاملی از جانب کاربر (به غیر از انتخاب آن)، فقط از طریق گزینه Preview در Windows Explorer فراخوانی کند.

مشروح گزارش محققان Huntress Labs در نشانی زیر قابل مطالعه است:

https://www.huntress.com/blog/microsoft-office-remote-code-execution-follina-msdt-bug

گفته می‌شود که این آسیب‌پذیری در چندین نسخه از Microsoft Office همچون Office 2016 ،Office 2013 و Office 2021 وجود دارد، اگرچه نسخه‌های دیگر همچون Office Professional Pro نیز آسیب‌پذیر می‌باشند.

شرکت مایکروسافت اکنون وجود این ضعف امنیتی را با شناسه CVE-2022-30190 تایید کرده و راهکار موقتی با غیرفعال کردن پودمان MSDT URL ارائه کرده است. جهت استفاده از این راهکار موقت، مراحل زیر را باید دنبال کرد:

  • Command Prompt را با اختیارات admin اجرا کنید.
  • دستور زیر را برای تهیه نسخه پشتیبان، اجرا کنید:

 reg export HKEY_CLASSES_ROOT\ms-msdt ms-msdt.reg

  • دستور زیر را برای غیرفعال کردن پودمان مورد نظر اجرا کنید:

 reg delete HKEY_CLASSES_ROOT\ms-msdt /f

بعد از ترمیم این ضعف امنیتی توسط مایکروسافت، می توانید با بازگرداندن فایل بایگانی تهیه شده، راهکار موقت را بی‌اثر کنید.

همچنین توصیه می‌گردد جهت مسدود کردن راه‌ سوءاستفاده از این ضعف امنیتی، گزینه Preview Pane در مرورگر Windowsا (Windows Explorer) غیرفعال شود.

جزئیات بیشتر در خصوص «راهنمای مایکروسافت درباره راهکارهای پیشگیری موقت» در نشانی زیر قابل مطالعه می‌باشد:

https://msrc-blog.microsoft.com/2022/05/30/guidance-for-cve-2022-30190-microsoft-support-diagnostic-tool-vulnerability/

منبع:

https://thehackernews.com/2022/05/watch-out-researchers-spot-new.html




کلمات کليدي
 
امتیاز دهی
 
 

تعداد بازديد اين صفحه: 80791
تعداد بازديد کنندگان سايت: 190391174 تعداد بازديد زيرپورتال: 83188 اين زيرپورتال امروز: 64 سایت در امروز: 1399 تعداد حاضران آنلاین: 55
کلیه حقوق این سایت متعلق به وزارت نفت جمهوری اسلامی ایران میباشد.
استفاده از اطلاعات این سایت با ذکر منبع بلامانع است.
Best View in 1024x768