info[at]nsec.ir
(+۹۸)-۳۱-۳۳۹۱۵۳۳۶

راهِ باز مهاجمان برای حمله از طریق باگ Follina در ماکروسافت ورد!

خلاصه: آسیب‌پذیری روز صفر در مایکروسافت آفیس به مهاجمان اجازه می‌دهد تا کدهای مخرب را بر روی سیستم‌های هدف از طریق نقص ویژگی قالب‌های Word از راه دور اجرا کنند.

 

هشدار این آسیب‌پذیری از طرف فروشنده امنیتی ژاپنی Nao Sec است که در توییتر هشداری درباره روز صفر در آخر هفته منتشر کرد. کوین بومونت، محقق امنیتی برجسته، این آسیب‌پذیری را Follina نامید و توضیح داد که کد روز صفر به کد منطقه ایتالیایی Follina – 0438 اشاره می‌کند. بومونت اشاره کرد که این نقص از ویژگی remote template در مایکروسافت ورد سوءاستفاده می‌کند و به مسیر اکسپلویت معمولی مبتنی بر ماکرو، که در حملات مبتنی بر آفیس رایج است، وابسته نیست. به گفته Nao Sec، یک نمونه اخیر از این اشکال در قالب سند Word و پیوندهایش بع   IP در جمهوری بلاروس یافت شد.

مشخص نیست که اشکال روز صفر به طور فعال توسط دشمنان مورد استفاده قرار گرفته است یا خیر. کد اثباتی وجود دارد که نشان می‌دهد نسخه‌های آفیس از سال ۲۰۰۳ تا نسخه‌های فعلی در برابر حمله آسیب پذیر هستند. در همین حال، محققان امنیتی اظهار داشتند که کاربران می‌توانند اقدامات کاهش سطح حمله مایکروسافت را برای کاهش خطر، به جای یک وصله، دنبال کنند.

کار Follina

محققان Nao Sec توضیح می‌دهند که مسیر آسیب‌پذیری شامل قالب مخربی است که اکسپلویتی را از طریقHTML  از یک سرور راه دور load می‌کند. HTML لود (load) شده از طرح URI MSProtocol ‪"ms-msdt"‬ برای لود کردن و اجرای یک قطعه کد PowerShell استفاده می‌کند. از پیوند خارجی Word برای لود کردن HTML استفاده می‌شود و سپس از طرح ms-msdt برای اجرای کد PowerShell استفاده می کند.

MSDT مخفف Microsoft Support Diagnostic Tool است و اطلاعات و گزارش‌ها را به پشتیبانی مایکروسافت جمع‌آوری می‌کند. این دیباگر عیب‌یابی اطلاعات جمع‌آوری‌شده را تجزیه و تحلیل می‌کند و سعی می‌کند راه‌حلی برای hiccups تجربه‌شده توسط کاربر پیدا کند. بومونت دریافت که این نقص به کد اجازه می دهد تا از طریق MSDT اجرا شود، «حتی اگر ماکروها غیرفعال باشند»!

 

بومونت در ادامه تأیید کرد که این سوءاستفاده در حال حاضر بر نسخه‌های قدیمی‌تر مایکروسافت آفیس ۲۰۱۳ و ۲۰۱۶ و تشخیص نقطه پایانی «اجرای از دست رفته (missed execution) » بدافزار تأثیر می‌گذارد. تحقیقات بیشتر نشان داد که این آسیب‌پذیری حتی بر آخرین نسخه مایکروسافت آفیس نیز تأثیر می‌گذارد. یکی دیگر از محققین امنیتی دیدیه استیونز اشاره کرد که از باگ Follina در نسخه اصلاح شده آفیس ۲۰۲۱ سوءاستفاده کرده است و جان هاموند محقق امنیت سایبری توئیت اثبات کار Follina را منتشر کرده است.

کاربران مایکروسافت با مجوزهای E5 می‌توانند با افزودن کوئری نقطه پایانی به Defender، این اکسپلویت را شناسایی کنند. علاوه بر این، وارن استفاده از قوانین کاهش سطح حمله (ASR) را برای جلوگیری از ایجاد فرآیندهای فرزند توسط برنامه‌های آفیس پیشنهاد می‌کند. به گزارش threatpost نیز نسخه‌های جدید آفیس نیز تحت تاثیر این باگ قرار گرفته‌اند.