不容错过的更新:Office 2016 与 Office 2019 支持终止

立即阅读
我们利用人工智能进行网站翻译,虽然我们力求准确,但不一定总是 100%精确。感谢您的理解。
首页/ 博客 / 您对 Follina 有什么办法吗?
端点管理

你能对 Follina 做什么?

Vinh Lam,高级技术项目经理
分享此贴

微软 Office 零日漏洞被滥用以执行 PowerShell

2022 年 5 月 27 日,Nao_Sec (1) 发现了 Microsoft Office 中的一个零日远程代码执行漏洞,研究人员 Kevin Beaumont 将其命名为 "Follina"。利用这个漏洞,未经身份验证的人可以通过利用下载的 Microsoft Office 文件获得持久访问权并远程控制目标系统。即使 Office 宏被禁用,黑客也可以利用它通过 Microsoft 诊断工具(MSDT)执行恶意 PowerShell 命令。

"该文档使用 Word 远程模板功能从远程网络服务器检索 HTML 文件,该文件又使用 ms-msdt MSProtocol URI 方案加载一些代码并执行一些 PowerShell,"研究员 Kevin Beaumont 解释说。"这不应该是可能的"。(2)

2022 年 5 月 30 日,微软发布了CVE-2022-30190。微软 Office 2013、2016、2019 和 2021 版本以及专业加强版都受到了影响。不过,截至 2022 年 6 月 1 日还没有可用的补丁。

在本篇博文中,我们将对恶意软件样本进行分析,并告诉您如何抵御攻击。

滥用 CVE-2022-30190 的攻击概述

通过分析样本,我们发现攻击方法并不新鲜。威胁作者使用的攻击向量与2021年 9 月利用CVE-2021-40444 的活动类似。这两次攻击都使用了关系文件中的外部链接,指向恶意 HTML 文件。

网络犯罪分子使用网络钓鱼或社交工程向目标受害者发送了一个武器化的 Microsoft Word 文件(.docx),并诱使他们打开该文件。该文件包含一个外部 URL,其中引用了一个 HTML,该 HTML 有一个不寻常的 JavaScript 代码。

被武器化的 Microsoft Word 文件 xml 代码截图

该 JavaScript 引用了一个可执行远程代码的 ms-msdt: URL。 

引用远程执行代码的 JavaScript 代码的图像
这是一张从https://twitter.com/0xBacco/status/1531599168363548672上获取的 POC 图像,用于展示 JavaScript 的示例

如何预防攻击

2022年5月30日,微软发布了关于临时解决方案的指导,以帮助用户缓解这一新披露的漏洞(3)。目前,禁用MSDT URL协议似乎是最简单的选择。不过,禁用MSDT URL协议可能带来的影响尚不明确。

但是,如果您正在使用 OPSWAT MetaDefender (搭载我们业界领先的Deep CDR™ 技术(内容解除武装与重建)),您便无需担心这些问题。 您的网络和用户将免受攻击威胁,因为所有隐藏在恶意文件中的活跃内容在到达用户之前都会被 Deep CDR™ 技术禁用。

下面,我们将演示 Deep CDR™ 技术如何处理恶意文件,并为用户生成安全可用的文件——无论该文件是上传到您的 Web 应用程序,还是作为电子邮件附件接收。

中和有毒的 Microsoft Word 文件

一旦包含恶意 URL 的 .docx 文件通过电子邮件、文件上传等方式进入贵组织的网络MetaDefender 利用OPSWAT 及其多重反恶意软件引擎对其MetaDefender ,并检查文件中是否存在潜在威胁,例如 OLE 对象、超链接、脚本等。接下来,所有嵌入的威胁都将根据 Deep CDR™ 技术的配置进行移除或递归清理。 如文件处理结果所示,一个 OLE 对象已被移除,且 XML 内容已得到清理。

OPSWAT MetaDefender Cloud 仪表板截图,显示未检测到威胁

处理完成后,.docx 文档不再包含恶意 HTML 链接,因为它被替换成了一个 "空白 "链接。因此,即使内部用户打开文件,也不会加载和执行恶意软件。

微软文档中经过净化的 xml 截图

使用OPSWAT 和MetaDefender 对处理后发布的已清理文件进行扫描,我们可以发现该文档不存在安全风险。

MetaDefender 的屏幕截图显示,在经过清理的文件中未检测到任何威胁

停用 HTML 文件的 JavaScript

即使您将 Deep CDR™ 技术引擎配置为接受文件中的 URL,系统仍能为您提供全面保护。Deep CDR™ 技术会移除加载的 HTML 文件中的恶意 JavaScript,因为该代码被视为潜在威胁。一旦移除 JavaScript,PowerShell 代码便无法被下载和执行。您的用户可以打开并使用经过重建、已消除威胁的文件,且功能完好无损。

显示使用 Deep CDR™ 技术进行文件净化处理后的截图

不要依赖检测

这种新的攻击手法难以被发现,因为恶意软件是从远程模板中加载的,因此该 .docx 文件由于不包含恶意代码,能够绕过网络防御(2)。同样,网络犯罪分子仍在积极利用漏洞,并滥用各种攻击载体,利用 Microsoft Office 程序及其宏、外部链接、OLE 对象等功能来传播或触发恶意软件。 要实现真正的零信任,仅依靠“检测即防护”的安全模型无法防范零日攻击。企业需要一套全面的威胁防护解决方案,以抵御已知和未知的恶意软件。

Deep CDR™ 技术是一种创新且有效的解决方案,能够有效应对高级隐蔽型恶意软件和零日攻击。它通过禁用所有可疑的可执行组件,在最早阶段阻止攻击,同时提供 100% 无威胁、安全可用的文件。

深入了解Deep CDR™ 技术。如需了解我们如何为您的组织提供针对武器化文档的全面防护,请立即联系OPSWAT

参考资料

[1]https://twitter.com/nao_sec/status/1530196847679401984

[2]https://medium.com/m/global-identity?redirectUrl=https%3A%2F%2Fdoublepulsar.com%2Ffollina-a-microsoft-office-code-execution-vulnerability-1a47fce5629e

[3]https://msrc-blog.microsoft.com/2022/05/30/guidance-for-cve-2022-30190-microsoft-support-diagnostic-tool-vulnerability/

Tags:

最新文章

订阅OPSWAT 简讯

获取最新的OPSWAT 公司更新、活动信息和 推动行业发展的新闻。
注册

关注我们的社交网站Media

请在您的 LinkedIn、Facebook、Twitter 和 YouTube 上关注OPSWAT ,了解更多信息!

通过OPSWAT 了解最新信息!

立即注册,即可收到公司的最新动态、 故事、活动信息等。
订阅