Microsoft Office Sıfır Gün Açığı PowerShell Çalıştırmak İçin Kötüye Kullanıldı
27 Mayıs 2022 tarihinde, Nao_Sec (1) tarafından Microsoft Office'te sıfır gün uzaktan kod çalıştırma hatası keşfedildi ve araştırmacı Kevin Beaumont tarafından "Follina" olarak adlandırıldı. Bu güvenlik açığı, kimliği doğrulanmamış bir kişinin indirilen Microsoft Office dosyalarından yararlanarak kalıcı erişim elde etmesine ve bir hedef sistemi uzaktan kontrol etmesine olanak tanır. Hackerlar, Office makroları devre dışı bırakılmış olsa bile Microsoft Diagnostic Tool (MSDT) aracılığıyla kötü amaçlı PowerShell komutlarını yürütmek için kullanabilir.
Araştırmacı Kevin Beaumont, "Belge, uzak bir web sunucusundan bir HTML dosyası almak için Word uzak şablon özelliğini kullanıyor ve bu da bazı kodları yüklemek ve bazı PowerShell'leri çalıştırmak için ms-msdt MSProtocol URI şemasını kullanıyor" dedi. "Bu mümkün olmamalı." (2)
30 Mayıs 2022 tarihinde Microsoft CVE-2022-30190'ı yayınladı. Microsoft Office'in 2013, 2016, 2019 ve 2021 sürümlerinin yanı sıra Professional Plus sürümleri de etkilenmiştir. Ancak, 1 Haziran 2022 itibariyle herhangi bir yama mevcut değildir.
Bu blog yazısında, kötü amaçlı yazılım örneğini analiz ediyor ve saldırılara karşı kendinizi nasıl koruyacağınızı gösteriyoruz.
CVE-2022-30190'ı Kötüye Kullanan Saldırıya Genel Bakış
Örneği analiz ederek, saldırı yaklaşımının yeni olmadığını gördük. Tehdit yazarı, Eylül 2021'de CVE-2021-40444'ten yararlanan kampanya ile benzer bir saldırı vektörü kullanmıştır. Her iki saldırıda da kötü niyetli bir HTML dosyasına yönlendiren bir ilişki dosyasında harici bir bağlantı kullanıldı.
Siber suçlular, kimlik avı veya sosyal mühendislik kullanarak hedef kurbanlara silahlandırılmış bir Microsoft Word dosyası (.docx) göndermiş ve onları bu dosyayı açmaları için kandırmıştır. Dosya, alışılmadık bir JavaScript koduna sahip bir HTML'ye referans veren harici bir URL içermektedir.
Bu JavaScript, uzaktaki bir kodu çalıştırabilecek ms-msdt: şemasına sahip bir URL'ye başvurur.
Saldırı Nasıl Önlenir
30 Mayıs 2022'de Microsoft, yeni ortaya çıkan güvenlik açığını hafifleten kullanıcıları desteklemek için geçici çözümlere ilişkin kılavuz yayınladı (3). Şu anda MSDT URL protokolünü devre dışı bırakmak en kolay seçenek olarak görünmektedir. Bununla birlikte, MSDT URL protokolünü devre dışı bırakmanın etkisinin ne olabileceği henüz net değildir.
Ancak, eğer kullanıyorsanız OPSWAT MetaDefender sektör lideri ürünlerimizle Deep CDR (Content Disarm and Reconstruction) teknolojisi sayesinde tüm bunlar için endişelenmenize gerek yok. Zararlı dosyalarda gizlenen tüm aktif içerik kullanıcılarınıza ulaşmadan önce Deep CDR tarafından devre dışı bırakıldığı için ağınız ve kullanıcılarınız saldırılara karşı güvende olur.
Aşağıda, Deep CDR 'un zararlı dosyayı nasıl ele aldığını ve ister web uygulamanıza yüklenmiş ister e-posta eki olarak alınmış olsun, kullanıcılarınız için tüketilmesi güvenli bir dosya oluşturduğunu gösteriyoruz.
Zehirli Microsoft Word dosyasını etkisiz hale getirin
Kötü amaçlı bir URL içeren .docx dosyası kuruluşunuzun ağına e-postalar, dosya yüklemeleri vb. yoluyla girdiğinde, MetaDefender , OPSWAT Metascan 'ı kullanarak dosyayı birden fazla kötü amaçlı yazılımdan koruma motoruyla tarar ve dosyayı OLE nesneleri, köprüler, komut dosyaları vb. gibi potansiyel tehditlere karşı inceler. Ardından, Deep CDR yapılandırmalarına bağlı olarak tüm gömülü tehditler kaldırılır veya özyinelemeli olarak sterilize edilir. Dosya işleme sonucumuzda gösterildiği gibi, bir OLE nesnesi kaldırılmış ve XML içeriği sterilize edilmiştir.
İşlemden sonra, .docx belgesi artık "boş" bir bağlantıyla değiştirildiği için kötü amaçlı HTML bağlantısını içermez. Sonuç olarak, dahili kullanıcılarınız dosyayı açsa bile hiçbir kötü amaçlı yazılım yüklenmez ve yürütülmez.
İşlem sonrası çıkan temizlenmiş dosyayı hem OPSWAT Metascan hem de MetaDefender Sandbox ile taradığımızda belgenin risksiz olduğunu görebiliyoruz.
HTML dosyasının JavaScript'ini devre dışı bırakma
Deep CDR motorunu dosyalardaki URL'leri kabul edecek şekilde yapılandırmanız durumunda, yine de tamamen korunursunuz. Deep CDR , yüklenen HTML dosyasındaki kötü amaçlı JavaScript'i kaldırır çünkü potansiyel bir tehdit olarak kabul edilir. JavaScript olmadan PowerShell kodu indirilemez ve çalıştırılamaz. Kullanıcılarınız tehdit içermeyen yeniden yapılandırılmış dosyayı tam kullanılabilirlikle açabilir ve kullanabilir.
Tespite Güvenmeyin
Bu yeni istismar yönteminin tespit edilmesi zordur çünkü kötü amaçlı yazılım uzak bir şablondan yüklenir, bu nedenle .docx dosyası kötü amaçlı kod içermediği için ağ savunmasını atlayabilir (2). Benzer şekilde, siber suçlular güvenlik açıklarından aktif olarak yararlanmaya ve kötü amaçlı yazılımları iletmek veya tetiklemek için Microsoft Office programlarından ve makrolar, harici bağlantılar, OLE nesneleri gibi özelliklerden yararlanarak çeşitli saldırı vektörlerini kötüye kullanmaya devam etmektedir. Gerçek bir sıfır güven uygulaması için, sıfır gün saldırılarını önlemek amacıyla algıla-koru güvenlik modeline güvenemezsiniz. Kuruluşlar, kendilerini hem bilinen hem de bilinmeyen kötü amaçlı yazılımlardan korumak için kapsamlı bir tehdit önleme çözümüne ihtiyaç duyar.
Deep CDR , gelişmiş kaçamak kötü amaçlı yazılımları ve sıfırıncı gün saldırılarını yenmek için yenilikçi ve etkili bir çözümdür. Tüm şüpheli çalıştırılabilir bileşenleri etkisiz hale getirerek saldırıları en erken aşamada durdurur ve aynı zamanda dosyaların %100 tehditsiz güvenli bir şekilde tüketilmesini sağlar.
Deep CDR teknolojisi hakkında daha fazla bilgi edinin. Kuruluşunuza silah haline getirilmiş belgelere karşı kapsamlı koruma sağlamaya nasıl yardımcı olabileceğimizi görmek için hemen bir OPSWAT uzmanıyla görüşün.
Referans
[1] https://twitter.com/nao_sec/status/1530196847679401984
