微软 Office 零日漏洞被滥用以执行 PowerShell
2022 年 5 月 27 日,Nao_Sec (1) 发现了 Microsoft Office 中的一个零日远程代码执行漏洞,研究人员 Kevin Beaumont 将其命名为 "Follina"。利用这个漏洞,未经身份验证的人可以通过利用下载的 Microsoft Office 文件获得持久访问权并远程控制目标系统。即使 Office 宏被禁用,黑客也可以利用它通过 Microsoft 诊断工具(MSDT)执行恶意 PowerShell 命令。
"该文档使用 Word 远程模板功能从远程网络服务器检索 HTML 文件,该文件又使用 ms-msdt MSProtocol URI 方案加载一些代码并执行一些 PowerShell,"研究员 Kevin Beaumont 解释说。"这不应该是可能的"。(2)
2022 年 5 月 30 日,微软发布了CVE-2022-30190。微软 Office 2013、2016、2019 和 2021 版本以及专业加强版都受到了影响。不过,截至 2022 年 6 月 1 日还没有可用的补丁。
在本篇博文中,我们将对恶意软件样本进行分析,并告诉您如何抵御攻击。
滥用 CVE-2022-30190 的攻击概述
通过分析样本,我们发现攻击方法并不新鲜。威胁作者使用的攻击向量与2021年 9 月利用CVE-2021-40444 的活动类似。这两次攻击都使用了关系文件中的外部链接,指向恶意 HTML 文件。
网络犯罪分子使用网络钓鱼或社交工程向目标受害者发送了一个武器化的 Microsoft Word 文件(.docx),并诱使他们打开该文件。该文件包含一个外部 URL,其中引用了一个 HTML,该 HTML 有一个不寻常的 JavaScript 代码。
该 JavaScript 引用了一个可执行远程代码的 ms-msdt: URL。
如何预防攻击
2022 年 5 月 30 日,微软发布了变通方法指南,以支持用户缓解新暴露的漏洞 (3)。目前,禁用 MSDT URL 协议似乎是最简单的选择。不过,目前还不清楚禁用 MSDT URL 协议会产生什么影响。
不过,如果您正在使用 OPSWAT MetaDefender与我们业界领先的 Deep CDR(内容解除和重构)技术,就不必担心所有这些问题。由于隐藏在有害文件中的所有活动内容都会在到达用户之前被Deep CDR 禁用,因此您的网络和用户都不会受到攻击。
下面,我们将演示Deep CDR 如何处理恶意文件,并为用户生成一个可安全使用的文件,无论该文件是上传到您的网络应用程序,还是作为电子邮件附件接收。
中和有毒的 Microsoft Word 文件
一旦带有恶意 URL 的 .docx 文件通过电子邮件、文件上传等方式进入贵组织的网络,MetaDefender 就会使用OPSWAT Metascan的多个反恶意软件引擎对其进行扫描,并检查文件中的潜在威胁,如 OLE 对象、超链接、脚本等。然后,根据Deep CDR 配置,删除或递归清除所有嵌入的威胁。如我们的文件处理结果所示,一个 OLE 对象被移除,XML 内容被消毒。
处理完成后,.docx 文档不再包含恶意 HTML 链接,因为它被替换成了一个 "空白 "链接。因此,即使内部用户打开文件,也不会加载和执行恶意软件。
使用OPSWAT Metascan 和MetaDefender Sandbox 扫描处理后发布的净化文件,我们可以看到文件没有任何风险。
停用 HTML 文件的 JavaScript
如果您将Deep CDR 引擎配置为接受文件中的 URL,您仍然可以得到完全保护。Deep CDR 会删除加载的 HTML 文件中的恶意 JavaScript,因为它被视为潜在威胁。没有 JavaScript,就无法下载和执行 PowerShell 代码。您的用户可以打开和使用无威胁的重构文件,并获得完全的可用性。
不要依赖检测
这种新的利用方法很难被发现,因为恶意软件是从远程模板加载的,所以.docx 文件可以绕过网络防御,因为它不包含恶意代码 (2)。同样,网络犯罪分子继续积极利用漏洞,滥用各种攻击载体,利用 Microsoft Office 程序和功能(如宏、外部链接、OLE 对象等)来传播或触发恶意软件。要实现真正的零信任,就不能依靠 "从检测到保护 "的安全模式来预防零日攻击。
Deep CDR 是一种创新而有效的解决方案,可击败高级规避型恶意软件和零日攻击。它通过解除所有可疑的可执行组件,在最初阶段阻止攻击,同时提供 100% 无威胁的安全文件。
了解有关Deep CDR 技术的更多信息。要了解我们如何帮助您的组织提供全面的保护,防范武器化文件,请立即联系OPSWAT 专家。
